Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新

Posted 天融信

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新相关的知识,希望对你有一定的参考价值。

Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描、新漏扫产品漏洞规则库已更新

2017年9月5日、9月7日,

Apache Struts接连发布漏洞编号分别为CVE-2017-9805(S2-052)和CVE-2017-12611(S2-053)的安全漏洞,天融信web扫描、新漏扫产品均已更新漏洞规则库,请大家及时检查升级规则库。

Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描、新漏扫产品漏洞规则库已更新

Struts2 S2-052受影响版本

Struts 2.5 - Struts2.5.12


Struts2 S2-053受影响版本

Struts 2.0.1 - Struts2.3.33     Struts 2.5- Struts2.5.10


S2-052官方说明界面

Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描、新漏扫产品漏洞规则库已更新

链接如下

http://struts.apache.org/docs/s2-052.html


S052漏洞概述:

Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。


解决方案

1.升级到 Apache Struts版本2.5.13.

2.如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,或者在配置文件中加入如下代码,限制服务端文件的扩展名


S2-053官方说明界面

链接如下

https://cwiki.apache.org/confluence/display/WW/S2-053


S053漏洞概述:

当在Freemarker标签中使用表达式常量或强制表达式时使用请求值可能会导致远程代码执行漏洞(见下面的示例)。


解决方案

1、升级到Apache Struts版本2.5.12或2.3.34

2、使用只读属性来初始化value属性(仅限getter属性)

3、Freemarker标签内容不要通过Request方式获取 

 

目前天融信的WEB扫描、新漏扫产品均已支持检测该漏洞。许可证未过期的web扫描和新漏扫可进行在线或离线手动的升级。请各位用户尽快升级相应产品的漏洞库至最新版本。


ftp://ftp.topsec.com.cn/漏洞扫描(TopScanner)/web扫描、新漏扫升级包/sig_v20170908003615.img

热点推荐

以上是关于Struts 2紧急发布漏洞S2-052和S2-053,天融信web扫描新漏扫产品漏洞规则库已更新的主要内容,如果未能解决你的问题,请参考以下文章

Struts 2 曝高危漏洞(S2-052),黑客可远程执行任意代码

Struts2远程代码执行漏洞S2-052 复现&防御方案

紧急Struts 2再爆高危漏洞,解决方案一览

优炫安全研究院发布struts 2 S2-052漏洞预警

Struts S2-052漏洞利用之Meterpreter

Struts REST插件远程代码执行漏洞(S2-052)