校内各使用Apache Strust2框架构建管理信息系统的单位:
近日,国家信息安全漏洞库(CNNVD)发布了Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,截至7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。 同时,建议用户采用公告提供的自主检测方法和网络侧防护措施。
我校也存在一些网站采取Apache Strust2框架构建,请管理员立刻参照技术文档进行检查和修复加固。同时也应处理修复之前发布的关于Apache Strust2框架的漏洞信息。
该漏洞的具体情况和处理建议如下:
一、漏洞简介
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品:Struts 1和Struts 2。
Apache Struts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
二、漏洞危害
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi,debug等功能)以及启用任何插件,因此漏洞危害较为严重。
三、修复措施
目前,Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。
【自查方式】
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
【升级修复】
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。目前下载包已可以在此获得:https://github.com/apache/struts/releases/
• 官方公告:
https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
【临时缓解】
如用户不方便升级,可采取如下临时解决方案:
• 删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)
网络信息中心
2017.3.7
