紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整

Posted E安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整相关的知识,希望对你有一定的参考价值。

安恒信息研究院通过分析安全公告中的修复版本根本对这个漏洞未做任何修补。官方安全公告中的最新版修复是无效的。


E安全6月4日消息 Apache Struts2在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码,此漏洞编号为CVE-2016-3087,定名为S2-033。国内安全厂商安恒信息透露,Apache发布Struts2 S2-033远程代码执行漏洞的修复方案经过安恒研究院研究人员的测试,确认该修复方案并不完整,依然会导致恶意攻击者对Struts2应用发起远程代码执行攻击。据E安全了解,发现此次Struts2漏洞修复方案无效的就是安恒研究院技术高手“Nike.zheng”,此前他曾向Apache官方提交了Struts 2高危安全漏洞(CVE-2016-3081,S02-32)。

官方问题版本及修复方案

Struts 2.3.20 – Struts 2.3.28 (不包括 2.3.20.3和 2.3.24.3)。

不受影响的版本

Struts 2.3.20.3、 2.3.24.3 或者 2.3.28.1。

完整修复方案:关闭动态方法调用

使用Struts 2的客户可以使用明鉴web应用弱点扫描器和网站安全监测平台在线更新策略来检测是否自身应用存在漏洞,也可以使用在线检测0day.websaas.com.cn进行检测。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒

E安全新浪微博:weibo.com/EAQapp

E安全PC站点:

E安全客服&投稿邮箱:eapp@easyaq.com

更多全球网络安全最新资讯,欢迎关注E安全APP客户端。


点击下方”阅读原文“即可下载安装E安全app

以上是关于紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整的主要内容,如果未能解决你的问题,请参考以下文章

鬼节紧急预警|Struts2又双叒叕爆高危漏洞(S2-052)!内有神物!

重大紧急安全预警:Apache Struts 2再爆高危远程漏洞

高危漏洞预警39期:Struts2 REST插件XStream远程代码执行漏洞

高危漏洞预警:Struts2 远程命令执行漏洞(CVE-2018-11776/S2-057)

每日安全资讯:Struts 2再曝远程代码执行漏洞S2-037 (CVE-2016-4438)

安全预警Apache Struts2 再爆高危漏洞(S2-057)创宇盾无需升级即可防御