漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

Posted 2020-09-13

近日，Apache官方发布Apache Struts 2.3.5–2.3.31版本及2.5–2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）的紧急漏洞公告。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息，导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

　　漏洞危害

　　攻击者可在HTTP请求头部中的Content-Type字段构造恶意代码利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用所需组件默认启用，因此漏洞危害较为严重。

　　

　　漏洞编号

　　CVE-2017-5638

　　CNNVD-201703-152

　　影响范围

　　受影响的Struts2版本：

　　Struts 2.3.5 – Struts 2.3.31

　　Struts 2.5 – Struts 2.5.1

　　检测方法

　　可以通过以下方式进行检测：查看web目录下/WEB-INF/lib/目录下的struts2-core-x.x.x.jar文件，如果x代表的版本号在2.3.5到2.3.31 以及2.5到2.5.10之间且未修改默认配置则存在漏洞。

　　修复措施

　　目前网上已经有人公开了漏洞利用工具，为了保护用户的资产安全，请及时修复该漏洞。

　　1、用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。建议在升级前做好数据备份。

　　补丁地址：

　　Struts 2.3.32：https://github.com/apache/struts/releases/tag/STRUTS_2_3_32

　　Struts 2.5.10.1：https://github.com/apache/struts/releases/tag/STRUTS_2_5_10_1

　　2、如用户不方便升级，可采取如下临时解决方案：删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。

　　3、如果确认问题存在，且无法进行上述措施时，用户可以及时与安信与诚取得联系，安信与诚将迅速为用户提供安全加固，安全策略调整等相关安全服务进行应急响应，以便迅速应对该漏洞。