Apache Struts 漏洞描述
某知名的安全组织向Apache Struts官方反馈了该漏洞的详细细节,其中就包括了之前版本出现的漏洞都是因为commons fileupload上传库而导致产生的口袋,目前的apache版本都在使用低版本的commons fileupload库,大多数都默认使用,导致***者可以利用上传漏洞,进行远程代码执行,提权,***服务器。Apache Struts 2.5.10以上的高版本,不受此次漏洞的影响。
Apache Struts漏洞级别 严重
Apache Struts 安全建议:
升级Apache Struts版本的到2.5.18以上的版本
升级Struts的上传库,commons fileupload的版本到最新版本1.3.3,Struts commons
fileupload
fileupload/download_fileupload.cgi
第三个安全建议:有些项目的开发与设计,可能牵扯到兼容性的问题,导致Apache Struts 不能直接升级到最新版本,这样的情况需要客户直接在Apache Struts 配置文件里修改安全参数,
参数如下:
<dependency>
<groupId>commons-fileupload</groupId>
<artifactId>commons-fileupload</artifactId>
<version>1.3.3</version>
</dependency>
如果对Apache Struts不是太熟悉的话,也可以直接使用CDN的防护系统,在CDN端做安全过滤,检测到Apache Struts***的时候,直接CDN前端拦截,前提是保障服务器的源IP不被暴露,防止***者利用host域名绑定来直接***服务器。
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
原文地址:http://blog.51cto.com/13753419/2314632