出大事了Struts 2爆S2-046紧急漏洞!再不下手就晚了!
Posted OTPUB权威IT学习平台
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了出大事了Struts 2爆S2-046紧急漏洞!再不下手就晚了!相关的知识,希望对你有一定的参考价值。
网络安全、IT运维人员……还未从S2-045的漏洞阴影中走出来,又曝出J2EE框架——Struts2存在远程代码执行的漏洞(S2-046)的消息,小伙伴的心都要碎了!而S2-046与S2-045漏洞影响范围及组件完全相同,依然是远程命令执行(RCE)。
Struts2是一种国内使用非常广泛的Web应用开发框架,被大量的政府、金融以及大中型互联网公司所使用。Struts2默认使用了Jakarta作为Multipart解析器,在受影响版本范围内的默认条件下都会存在该问题。
漏洞信息
S2-046漏洞触发条件:当上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小(2GB)或是在文件名内容构造恶意的OGNL内容时,Content-Disposition请求中含有空字节,可能会造成远程命令执行,导致系统被入侵。
危险等级
影响范围
与Struts S2-045漏洞受影响版本相同,Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10。
修复建议
如您正在使用Jakarta文件Multipart 解析器:
1、请立刻升级Struts至安全版本。(安全版本:Struts 2.3.32或2.5.10.1)
2、或更换其他Multipart解析器,严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。
Struts 2.3.32:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
Struts 2.5.10.1:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
事实上,如果已经按照S2-045漏洞的升级要求升级到2.3.32或者2.5.10.1版本的企业用户,本次就不受影响。所以,别犹豫,赶紧升级!
往期精彩:
·
·
·
OTPUB
有温度、有态度、有高度、有深度
直播氧吧
IT在线学习平台
以上是关于出大事了Struts 2爆S2-046紧急漏洞!再不下手就晚了!的主要内容,如果未能解决你的问题,请参考以下文章
重大紧急安全预警:Apache Struts 2再爆高危远程漏洞