Oracle修复Apache Struts 2框架中多个漏洞
Posted 黑客视界
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oracle修复Apache Struts 2框架中多个漏洞相关的知识,希望对你有一定的参考价值。
“ 用 指尖 改变世界 ”
近日,甲骨文公司(Oracle)发布了针对旗下多个产品的安全补丁,其中存在于Apache Struts 2框架中的几个漏洞也得到了修复,包括在前几周被披露的CVE-2017-9805 。
Struts2 是Apache 软件基金会负责维护的一个基于MVC设计模式的Web 应用框架开源项目。而Struts2的REST插件使用带有XStream例程的XStreamHandler执行反序列化操作,但在反序列化过程中并没有执行任何类型过滤。
该漏洞标记为CVE-2017-9805,允许攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。它影响从2008年起的所有版本的Apache Struts,从Struts 2.5到Struts 2.5.12。
专家们警告说Struts REST通讯插件无法处理XML有效载荷,导致使用此插件的所有Web应用程序易于受到远程攻击。
发现CVE-2017-9805漏洞的Lgtm公司警告说,在财富排行榜100强的企业中至少有65%的使用Struts,因为这个漏洞的存在,使得它们都可能面临远程攻击风险。
Apache Struts的开发团队承认了此漏洞的存在并发布了一个修补程序。
易受攻击的产品包括MySQ LEnterprise Monitor、Communications Policy Management、FLEXCUBE Private Banking、Retail XBRi、Siebel、WebLogic Server以及几款金融服务和保险产品。
Oracle还发布了针对其他几个漏洞的安全补丁,包括CVE-2017-7672、CVE-2017-9787,CVE-2017-9791、CVE-2017-9793、CVE-2017-9804和CVE-2017-12611。
此外,美国CERT也开设了一个有关Oracle发布的Apache漏洞安全补丁的安全性咨询,并敦促用户应尽快安装这些安全补丁。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
黑客视界
网页:www.hackeye.net
爆料:vanessa@xway.cn
点击 阅读原文 了解更多
以上是关于Oracle修复Apache Struts 2框架中多个漏洞的主要内容,如果未能解决你的问题,请参考以下文章
详细分析Apache Struts RCE漏洞及攻击事件(CVE-2018-11776)
Equifax 证实:未及时修复 Apache Struts 漏洞,致使美国公民数据遭窃