关于Struts-2高危漏洞预警信息

Posted 2021-04-28 长沙网络与信息安全信息通报中心

按照全国网络安全执法检查要求，为有效防范不法分子利用网络漏洞攻击篡改党政机关和企事业单位网站案事件发生，湖南省公安厅网技总队组织多家安全公司，对全省部分公网ip进行了远程技术检测，发现长沙市部分重点行业、重点单位存在Struts 2-045、Struts 2-046漏洞，经验证发现，该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。攻击者可通过Jakarta 文件上传插件，可执行具有恶意Content-Disposition 值或具有不正确Content-Length 报头的RCE攻击，直接获取应用系统所在服务器的控制权限，进而控制网站服务器，漏洞评级为高危。

鉴于该漏洞影响范围较大，危害程度较高，各单位要及时警示本部门、本辖区网站和系统用户，关注本单位系统的安全状况，如发现此类型漏洞，及时实施漏洞修复措施，并使用前做好修复软件验证、系统数据备份等工作，在确保安全的前提下及时堵塞漏洞，消除安全隐患，提高安全防范能力。

以下，推荐几点措施，供各单位参考：

【自查方式】
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
【升级修复】
1、如您正在使用Jakarta文件上传插件或者是存在漏洞的Struts2版本请升级至Struts2 2.3.32或2.5.10.1版。

2、使用Servlet过滤器验证Content-Type丢弃不匹配的请求multipart/form-data.

【临时缓解】

如用户不方便升级，可采用官方发布的以供应急使用的Jakarta插件版本，下载链接如下：

https://github.com/apache/struts-extras

或改用其他Multipart parser应用，相关链接如下：

https://cwiki.apache.org/confluence/display/S2PLUGINS/Pell+Multipart+Plugin