漏洞预警那个谁,Struts2又双叒叕出现漏洞了
Posted 神月资讯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞预警那个谁,Struts2又双叒叕出现漏洞了相关的知识,希望对你有一定的参考价值。
综述
今日,Apache Struts发布S2-054和S2-055安全公告,两个漏洞皆是因为调用了有问题的组件而产生的漏洞。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-054
https://cwiki.apache.org/confluence/display/WW/S2-055
漏洞成因
S2-054漏洞成因:
由于Apache Struts REST插件使用了过时的JSON-lib库,这个库很容易受到攻击,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。
漏洞细节:
CVE编号:CVE-2017-15707
S2-055漏洞成因:
由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。
漏洞细节:https://github.com/FasterXML/jackson-databind/issues/1599
CVE编号:CVE-2017-7525
漏洞作者
Huijun Chen, XiaoLong Zhu - 华为
David Dillard < david.dillard@veritas.com> - Veritas Technologies产品安全部门
影响版本
Struts 2.5 - Struts2.5.14
漏洞等级
中危
修复方案
s2-054修复方案:
升级到Apache Struts版本2.5.14.1。
使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler。
s2-055修复方案:
升级到Apache Struts版本2.5.14.1。
手动将项目中的com.fasterxml.jackson升级到版本2.9.2,具体查看:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770
参考
https://cwiki.apache.org/confluence/display/WW/S2-054
https://cwiki.apache.org/confluence/display/WW/S2-055
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770
以上是关于漏洞预警那个谁,Struts2又双叒叕出现漏洞了的主要内容,如果未能解决你的问题,请参考以下文章
鬼节紧急预警|Struts2又双叒叕爆高危漏洞(S2-052)!内有神物!
安全播报 | Apache Struts2 又双叒叕现高危漏洞(S2-052) 创宇盾无需升级即可防御