主页  >  举报指南  |  法律法规  |  温馨提示  |  曝光台  |  报警查询  |  我要报警
网络与信息安全情况通报-2017年第23期
2017年8月26日    |   阅读:71   |   录入:btq
 
   
 

 

 

关于Apache Struts2 高危漏洞

有关情况的通报

 

近日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 S2-048远程代码执行漏洞(CNVD-2017-13259,对应CVE-2017-9791),现将有关情况通报如下:

Apache Struts2是第二代基于模型-视图-控制器模型(Model-View-Controller ,即MVC)的java企业级web应用框架,目的在于为用户提供一些模板,减少用户在运用MVC设计模型时开发web应用的时间。2017年7月7日,Apache Struts 发布最新的安全公告称,Struts2 存在远程命令执行漏洞(命名编号为S2-048)。漏洞成因为Struts2的struts1插件在处理messages时,直接将messages带入ognl语句执行,导致远程代码执行,攻击者可利用该漏洞获得受影响服务器的系统权限。该漏洞主要影响Apache Struts 2.3.x版本。

为确保安全,云南省网络与信息安全信息通报中心提出以下应对建议:一是及时将Struts升级到最新的2.5.10.1版本;二是避免使用struts-struts1-plugin这个插件,非必须使用的情况下可以将struts-struts1-plugin-2.3.x.jar文件从“/WEB-INF/lib”目录中直接删除;三是请勿将showcase展示包部署在不安全的网络环境中,避免服务器遭到攻击。




 
主页    |    举报指南   |   法律法规    |    温馨提示    |     曝光台    |    报警查询    |   联系我们
CopyRight © 2013 云南省公安厅网络安全保卫总队 版权所有
昆明固得派信息技术有限公司   技术支持
(建议使用IE8.0以上版本浏览器)
其它浏览器请设置在兼容模式使用