近日,国家信息安全漏洞库(CNNVD)接到安恒信息报送的有关Apache Struts2存在拒绝服务漏洞(CNNVD-201707-498)的情况。7月11日,Apache官方网站针对上述漏洞发布了安全公告(S2-049)。CNNVD对此进行了跟踪分析,情况如下:
一、 漏洞简介
Apache Struts2是Apache基金会发布的一款实现了MVC模式的中间件软件,广泛应用于Web开发和大型网站建设。
当开发人员在Struts2框架中,使用Spring AOP(如Spring Security)进行权限控制时,攻击者可在Struts2调用Spring Security AOP代理生成的Action时,通过ParametersInterceptor拦截器设置被代理的Action属性,从而导致被代理类里面某些动态设置的属性值被篡改,进而导致目标主机拒绝服务。
二、漏洞危害
由于Struts2广泛应用于大型互联网企业、政府、金融机构等网站建设,影响范围较广。根据CNNVD数据统计,目前超过3万个网站使用了Struts2。
该漏洞的利用要求在Struts2框架中使用Spring Security,并且认证成功的情况下,才能成功,利用条件较为苛刻。
三、修复措施
目前,Apache官方已针对上述漏洞发布了升级补丁,部署Apache Struts2的单位,应及时检查所使用的Struts2版本是否在受影响范围内。如受影响,可升级至Struts2 2.5.12版本,链接如下:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12
本报告由CNNVD技术支撑单位——杭州安恒信息技术有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。
联系方式: [email protected]
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论