安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

安全通告|Struts2(S2-052)远程命令执行漏洞

紧急通告2017-09-08 02:16:49 3295次围观

尊敬的海峡用户:

Apache Struts 2近日被曝存在远程命令执行漏洞,漏洞编号S2-052,CVE编号为CVE-2017-9805。当web应用系统采用Struts REST插件的XStream handler去反序列处理XML请求时,可能造成RCE远程代码执行漏洞,攻击者可远程远程执行系统命令,导致系统被入侵。


【漏洞描述】

当应用系统启用Struts REST插件的XStream handler去反序列处理一个没有经过任何类型过滤的XStream的实例时,可能导致在处理XML时,造成远程代码任意执行。


【风险分析】

此次漏洞危害等级:严重。

攻击者利用该漏洞,可能远程执行任意系统命令。


【漏洞影响版本】

Struts 2.5 - Struts 2.5.12


【修复方案】

1、 建议您升级Struts 2.5.13 (如果之前s2-045、s2-046漏洞已升级到相应版本,无需再升级);

提醒:在升级前请做好快照备份。

2、代码层面修复,对客户端GET、POST请求的内容进行严格过滤,如可采用filter过滤类进行全局过滤,过滤特征如下:

 FileOutputStream    Runtime  FileInputStream   ProcessBuilder   getWriter  getRealPath

等特征(由于升级Struts框架可能会影响业务,可采用代码层面修复方式)

3、由于漏洞触发需要系统同时使用REST插件及XStream。请检查应用系统是否有使用REST插件及XStream,检查方法如下:

可在应用系统部署目录下的web-inf\lib目录下查询是否有类似struts2-rest-plugin-x.x.x.jar的jar包,如无说明没使用REST插件,不受此漏洞影响,如有使用REST插件,进一步检查是否使用XStream,同样也在web-inf\lib目录下,查询是否有xstream-x.x.x.jar的jar包。

4、如果系统没有使用Struts REST插件,那么可以直接删除Struts REST插件,可在web-inf\lib目录下直接删除类似struts2-rest-plugin-x.x.x.jar的jar包或者在配置文件struts.xml中加入如下代码,限制服务端接收文件的扩展名:

<constant name="struts.action.extension" value="xhtml,,json" />


【参考资料】

https://cwiki.apache.org/confluence/display/WW/S2-052


上一篇: 安全通告|针对Tomcat文件包含高危漏洞 | 黑盾云提供在线免费检测

下一篇: 安全通告|Apache Struts2远程代码执行漏洞(S2-053)