Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新
Posted 天融信
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新相关的知识,希望对你有一定的参考价值。
2017年9月5日、9月7日,
Apache Struts接连发布漏洞编号分别为CVE-2017-9805(S2-052)和CVE-2017-12611(S2-053)的安全漏洞,天融信web扫描、新漏扫产品均已更新漏洞规则库,请大家及时检查升级规则库。
Struts2 S2-052受影响版本
Struts 2.5 - Struts2.5.12
Struts2 S2-053受影响版本
Struts 2.0.1 - Struts2.3.33 Struts 2.5- Struts2.5.10
S2-052官方说明界面
链接如下
http://struts.apache.org/docs/s2-052.html
S052漏洞概述:
Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
解决方案
1.升级到 Apache Struts版本2.5.13.
2.如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名
S2-053官方说明界面
链接如下
https://cwiki.apache.org/confluence/display/WW/S2-053
S053漏洞概述:
当在Freemarker标签中使用表达式常量或强制表达式时使用请求值可能会导致远程代码执行漏洞(见下面的示例)。
解决方案
1、升级到Apache Struts版本2.5.12或2.3.34
2、使用只读属性来初始化value属性(仅限getter属性)
3、Freemarker标签内容不要通过Request方式获取
目前天融信的WEB扫描、新漏扫产品均已支持检测该漏洞。许可证未过期的web扫描和新漏扫可进行在线或离线手动的升级。请各位用户尽快升级相应产品的漏洞库至最新版本。
ftp://ftp.topsec.com.cn/漏洞扫描(TopScanner)/web扫描、新漏扫升级包/sig_v20170908003615.img
热点推荐
以上是关于Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新的主要内容,如果未能解决你的问题,请参考以下文章