佳软信息与您共筑安全网 为两会保驾护航
3月7日,国家信息安全漏洞共享平台(CNVD)发布了Apache struts2 S2-045远程代码执行漏洞安全公告(漏洞编号S2-045,CVE编号 :CVE-2017-5638),并定级为高危风险。
由于J2EE框架Struts2在全球大量使用,该漏洞影响范围极广,黑客能利用所有使用Struts2开发框架的站点漏洞,通过浏览器在远程服务器上执行任意系统命令,从而引发数据泄露、网页篡改、植入后门,并让网站成为肉鸡。
正值两会期间,佳软信息高度重视此次安全问题,公司迅速组织工作人员连夜加班对所有产品和系统进行排查,由于本公司所有产品和系统均采用json rpc技术,未受到此次安全漏洞影响,可以有效避免在线应用系统被入侵或业务中断,确保所有用户网站在两会期的安全运行,请您放心使用。
系统应用未知安全风险永远存在,佳软信息将秉承服务为先的理念,做好安全保障和服务支撑,永远与您同在。
1、 什么是Apache struts2。
Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。
2、 什么是json rpc。
json rpc 是一种以json为消息格式的远程调用服务,它是一套允许运行在不同操作系统、不同环境的程序实现基于Internet过程调用的规范和一系列的实现。这种远程过程调用可以使用http作为传输协议,也可以使用其它传输协议,传输的内容是json消息体。
3、 此次漏洞危害。
此次披露的安全漏洞是由于JakartaMultipartparser的文件上传模块在处理文件上传(multipart)的请求时对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在判断content-type不正确的时候会抛出异常并带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi,debug等功能)以及启用任何插件,因此漏洞危害较为严重。
4、 具体修复措施。
目前,Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。
【自查方式】
用户可查看web目录下/WEB-INFb/目录下的struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。
【升级修复】
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。
官方公告:
https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
【临时缓解】如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)