Oracle修复Apache Struts 2框架中多个漏洞

Posted 2021-04-28 黑客视界

“ 用 指尖 改变世界 ”

近日，甲骨文公司（Oracle）发布了针对旗下多个产品的安全补丁，其中存在于Apache Struts 2框架中的几个漏洞也得到了修复，包括在前几周被披露的CVE-2017-9805 。

Struts2 是Apache 软件基金会负责维护的一个基于MVC设计模式的Web 应用框架开源项目。而Struts2的REST插件使用带有XStream例程的XStreamHandler执行反序列化操作，但在反序列化过程中并没有执行任何类型过滤。

该漏洞标记为CVE-2017-9805，允许攻击者可以通过构造恶意XML请求在目标服务器上远程执行任意代码。它影响从2008年起的所有版本的Apache Struts，从Struts 2.5到Struts 2.5.12。

专家们警告说Struts REST通讯插件无法处理XML有效载荷，导致使用此插件的所有Web应用程序易于受到远程攻击。

发现CVE-2017-9805漏洞的Lgtm公司警告说，在财富排行榜100强的企业中至少有65％的使用Struts，因为这个漏洞的存在，使得它们都可能面临远程攻击风险。

Apache Struts的开发团队承认了此漏洞的存在并发布了一个修补程序。

易受攻击的产品包括MySQ LEnterprise Monitor、Communications Policy Management、FLEXCUBE Private Banking、Retail XBRi、Siebel、WebLogic Server以及几款金融服务和保险产品。

Oracle还发布了针对其他几个漏洞的安全补丁，包括CVE-2017-7672、CVE-2017-9787，CVE-2017-9791、CVE-2017-9793、CVE-2017-9804和CVE-2017-12611。

此外，美国CERT也开设了一个有关Oracle发布的Apache漏洞安全补丁的安全性咨询，并敦促用户应尽快安装这些安全补丁。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。

黑客视界 

网页:www.hackeye.net

爆料:vanessa@xway.cn

点击 阅读原文 了解更多