1. 最新公告
  2. 价格总览
  3. 付款方式
  4. 帮助中心
  5. 备案
  6. 加入我们
追求卓越 至真至诚    Anytime Anywhere Anything
【安全漏洞预警】Struts2 REST插件远程代码执行漏洞问题预警
 

尊敬的鸿运国际用户您好



针对CVE-2017-9805: Struts2 REST插件远程代码执行漏洞问题做重要预警。如您尚未完成相关漏洞的修复工作,强烈建议您参考下文立即执行解决方案。



CVE-2017-9805: Struts2 REST插件远程代码执行漏洞问题预警



漏洞描述:


2017年09月05日,Struts官方发布严重级别的安全漏洞:Struts2 REST插件远程代码执行漏洞。


Strut2 REST插件的XStream Handler在反序列化XStream实例时未进行安全检查,在处理恶意请求时可导致远程代码执行



漏洞危害:


当启用Strut2 REST插件的XStream Handler反序列化XML请求时,攻击者通过发送精心构造的恶意数据包,可导致远程代码执行



漏洞影响:


Struts 2.5-Struts 2.5.12



解决方案:



  • 升级到最新版本:Apache Struts 2.5.13 或 Apache Struts 2.3.34


  • 如果业务没有使用Struts REST插件,建议删除或禁用该插件


  • 如果业务需要使用Struts REST插件,修改配置struts.xml,限制应用仅处理xhtml和json格式文件:

<constant name="struts.action.extension" value="xhtml,,json" />




如果有任何问题,您可以通过工单向我们反馈。


感谢您对鸿运国际的理解与支持!



江苏三艾网络科技有限公司


2017年9月6日 15:00






 


展开
鸿运国际