国产亚洲不卡一区二区-色婷婷亚洲十月十月色天-少妇丰满a一区二区三区-天堂av日韩在线观看

首頁安全服務(wù)安全公告
正文

Struts2框架遠程代碼執(zhí)行漏洞安全預(yù)警與建議

發(fā)布時間:2022-04-15 14:04   瀏覽次數(shù):4422

近日,海峽信息安全威脅情報中心監(jiān)測到Apache Struts官方發(fā)布安全公告,披露了Apache Struts框架漏洞S2-062 (CVE-2021-31805),攻擊者可構(gòu)造惡意的OGNL表達式觸發(fā)漏洞,從而實現(xiàn)遠程代碼執(zhí)行。目前Struts官方已發(fā)布安全版本,海峽信息安全應(yīng)急中心建議受影響單位和用戶立即升級至安全版本。

一、漏洞描述

該漏洞由于對s2-061(CVE-2020-17530)的修復(fù)不完整,導(dǎo)致輸入驗證不正確。當(dāng)開發(fā)人員使用了 %{…} 語法進行強制OGNL解析時,仍有一些特殊的TAG屬性可被二次解析,導(dǎo)致攻擊者可構(gòu)造惡意的OGNL表達式觸發(fā)漏洞,從而實現(xiàn)遠程代碼執(zhí)行。

二、影響范圍及利用條件

影響范圍:2.0.0 <= Apache Struts版本 <= 2.5.29

利用條件:漏洞需要開發(fā)實際代碼寫法支持,目前判斷被利用的實際風(fēng)險較低

三、安全防范建議

目前Struts官方已發(fā)布安全補丁,海峽信息提醒各相關(guān)單位和用戶要強化風(fēng)險意識,切實加強安全防范:

目前Struts官方已發(fā)布安全版本:2.5.30。建議用戶盡快自查,對受影響的版本及時升級至最新版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.30

四、自查框架版本措施

1、若項目是采用 maven 編譯,可查看pom.xml文件確定struts2使用的版本號是否在影響范圍內(nèi),如下2.5.10版本在受影響版本范圍內(nèi):

444.png


2、在應(yīng)用目錄下搜索是否使用struts2-core,特別在應(yīng)用的WEB-INF\lib目錄下搜索,如果存在struts2-core-{version}.jar,且查看所使用版本號是否在受影響范圍內(nèi),如下2.5.10版本在受影響的版本范圍內(nèi):

5555.png

附參考鏈接:https://cwiki.apache.org/confluence/display/WW/S2-062

福建省海峽信息技術(shù)有限公司 版權(quán)所有  聯(lián)系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2024 Fujian Strait Information Corporation. All Rights Reserved.

返回頂部

欧美人与性一区二区三区| 国产白丝免费在线观看| 久久国产精品99亚洲| 大香蕉国产精品视频在线| 亚洲综合欧美自偷自拍| 国产成人精品高清国产三级| 日韩欧美中文在线一区二区| 精品少妇人妻av免费久久久| 亚洲午夜精品理论在线不卡| 欧美亚洲另类在线第一页| 青青草免费公开视频久久| 精品国内日本一区二区| 精品欧美黑人一区二区| 午夜欧美激情在线视频| 国产精品久久久久大屁股精品性色 | 美女网站色在线免费观看午夜精品| 激情自拍偷拍合集一部| 日本色小姐美国青青草原| 久草尤物视频在线观看| 欧美另类亚洲综合久青草| 人成午夜视频在线播放| 国产伦一区二区三区三州| 视频二区国产欧美日韩| 日本顶级片一区二区三区| 国产精品日韩伦理一区二区| 久久婷婷欧美激情综合| 日本一区二区三区不卡在线| 日韩精品专区中文字幕| 亚洲成人日韩国产欧美| 亚洲天堂日韩欧美在线一区| 欧美精品成人在线一区| 欧洲一区二区三区黄色| 开心五月婷婷六月丁香| 亚洲精品一级二级三级| 一级片欧美女人性生活片| 日韩特级黄片在线免费观看| 97国产精品视频在线观看| 国产乱码精品免费一区二区av| 日韩一区精品视频一区二区| 黑人巨大精品欧美久久| 欧美亚洲国产精品综合在线|