重磅 | 安恒安全研究院院长深度解密 Struts2 S2-045漏洞

Posted 2021-04-28 安恒信息

（转自E安全）

安恒信息安全研究院院长吴卓群

关于Struts2漏洞情况分析及快速防护的分享

漏洞为何产生？

如何进行防护？

怎样快速应对？

一起来看吴卓群院长的讲解吧！

安恒安全研究院院长吴卓群讲解Struts2 S2-045漏洞的安全防护技巧

 

近日，安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认高风险漏洞（漏洞编号S2-045，CNNVD编号：CNNVD-201703-152，CVE编号：CVE-2017-5638）。

 

 

 

 

Apache Struts 2是世界上最流行的Java Web服务器框架之一，国内外均有大量厂商使用该框架。自2013年Apache Struts 2的远程代码执行漏洞风暴后，安恒就在持续关注Struts2漏洞。安恒信息的安全专家早在2014年就提醒使用Struts框架的网站管理员，时刻关注Struts官方修复方案，并对Struts官方修复内容进行审核。

 

 

本次发现Struts2存在远程代码执行的严重漏洞的安恒研究员，其去年就曾发现Struts2一个严重的远程代码执行漏洞（漏洞编号S2-029，CNNVD编号：CNNVD-201603-234，CVE-2016-0785），并于当年3月18日报告给Struts2官方获其确认和感谢。

 

 

 

 

当然，膜拜上神nike.zheng哥之前，赶紧上车，应急处理漏洞先！！！值此两会期间，抓紧抓紧！！！

 

 

 

 

本次（漏洞编号S2-045，CNNVD编号：CNNVD-201703-152，CVE编号：CVE-2017-5638）漏洞影响范围极广，影响国内外绝大多数使用Struts2开发框架的站点。目前针对此漏洞的POC与EXP已经开始在互联网上流传！！！

 

 

请

受影响的软件版本

Struts 2.3.5 - Struts 2.3.31

Struts 2.5 - Struts 2.5.10

 

 

请

漏洞危害

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

 

 

请

自查方式

用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。

 

 

请

Struts 2.3.32：

https://dist.apache.org/repos/dist/dev/struts/2.3.32/

Struts 2.5.10.1：

https://dist.apache.org/repos/dist/dev/struts/2.5.10.1/ 

 

 

请

临时缓解措施

如用户不方便升级，可采取如下临时解决方案：

删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)

 

 

由于Struts2补丁修复或版本升级需要专业的软件开发团队协助，因此无法在短时间内快速处理。

 

 

为保障两会时期网站平稳运行，针对此次漏洞，安恒安全专家建议尽快更新Struts2版本或采用第三方防护措施如具备防护能力的WEB防火墙或云防护产品进行防范。并决定为所有受此漏洞影响网站开通玄武盾快速接入绿色通道。

 

 

玄武盾产品组决定凡是受该漏洞危害的站点均可免费接入半个月防护时间。可有效避免用户在线系统被入侵或业务中断，协助用户在Struts2补丁修复期间提供云端防护服务。

 

 

有需要的用户可联系玄武盾负责人进行免费接入。

 

 

接入范围 :   所有受该漏洞影响的站点

免费接入时间 :  即刻至3月底

应急联系人 : 贾腾飞 18868949363

tengfei.jia@dbappsecurity.com.cn

                     毛润华  13067932392

wefo.mao@dbappsecurity.com.cn

 

相关阅读

67

距离5月15日

安恒十周年还有

天

＊

安恒密盾是安恒信息为阿里钉钉量身打造的第三方的安全加密模块，确保信息从通讯链路到钉钉云端的全过程加密，密钥和内容分开存储，双重加密，任何第三方包括钉钉在内都无法解密。在G20期间，钉钉和密盾大显身手，获得赞誉。

扫描二维码注册钉钉企业用户，并开通安恒密盾，根据向导申请企业认证。

杭州安恒信息技术有限公司

杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办，是中国领先的信息安全产品和服务解决方案提供商，阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌，多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续三届世界互联网大会和G20峰会等重大活动提供全方位网络信息安全保障。

公司主营业务涵盖云计算安全，大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等，包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台，为用户提供全方位、立体式的安全托管服务，帮助用户更快速、更安全、更放心的拥抱云计算和大数据，目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌！

 

   

长按识别二维码关注我们