关于Apache Struts2存在S2-052远程代码执行高危漏洞的通告

发布者:系统管理员发布时间:2017-09-07浏览次数:1343


校内各使用Apache Strust2构建管理信息系统的单位:

近日,Apache官方发布安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

目前报道受影响的版本为Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12。官方推荐的解决办法是将Apache Struts2版本升级到2.3.34 或 2.5.13。我校部署的WAF防火墙中已经升级添加对此漏洞的规则描述。

我校存在一些网站和信息系统使用Apache Strust2框架构建,请管理员立刻参照技术文档进行检查和修复加固。同时也应处理修复之前发布的关于Apache Strust2框架的漏洞。

附:本次漏洞的官网描述为:https://cwiki.apache.org/confluence/display/WW/S2-052


网络信息中心

2017.9.7

 

 

        附件: