网络信息安全
安全公告
安全通报
安全常见问题
    您现在的位置: 首页>网络信息安全>安全公告
 
关于Apache Struts2存在S2-052远程代码执行高危漏洞的通告

校内各使用Apache Strust2构建管理信息系统的单位:

近日,Apache官方发布安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

目前报道受影响的版本为Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12。官方推荐的解决办法是将Apache Struts2版本升级到2.3.34 或 2.5.13。我校部署的WAF防火墙中已经升级添加对此漏洞的规则描述。

我校存在一些网站和信息系统使用Apache Strust2框架构建,请管理员立刻参照技术文档进行检查和修复加固。同时也应处理修复之前发布的关于Apache Strust2框架的漏洞。

附:本次漏洞的官网描述为:https://cwiki.apache.org/confluence/display/WW/S2-052


网络信息中心

2017.9.7

 

 

        附件:
网络信息中心
科大微信企业号
公共信息服务
版权所有©2015 中国科学技术大学网络信息中心  地址:安徽省合肥市包河区金寨路96号 邮编:230026  联系我们