警惕Apache Struts2最新(CVE-2017-5638,S02-45)高危远程代码执行漏洞

[复制链接]
  • TA的每日心情
    开心
    2018-3-2 08:04
  • 签到天数: 75 天

    [LV.6]无双隐士

    累计在线
    11580分钟
    发表于 2017-3-7 10:37:26 | 显示全部楼层 |阅读模式
    本帖最后由 son850318 于 2017-3-7 10:39 编辑

    Apache Struts 2是世界上最流行的Java Web服务器框架之一。
    然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10
    概要
    基于Jakarta Multipart解析器执行文件上传时可能的远程执行代码。

    问题
    可能执行具有恶意Content-Type 值的RCE攻击  。如果Content-Type 值无效,则抛出异常,然后用于向用户显示错误消息。
    建议
    如果您使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版。你也可以切换到不同的实现多部分解析器。
    向后兼容性
    预期不会有向后不兼容问题。
    解决方法
    实现一个Servlet过滤器,它将验证Content-Type 并丢弃具有可疑值不匹配的请求 multipart/form-data.


    立即注册!免费学习海量IT技术信息!!
    您好!您暂时不能浏览帖子的全部内容,请 登录 | 没有帐号? 注册QQ登录 (本帖含有附件) 
    itzb 该用户已被删除
    发表于 2017-5-18 16:09:16 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表