Apache Struts 最新漏洞 远程代码执行漏洞预警 2018年11月08日

 
 
         2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏

洞补丁,这个漏洞是Apache Struts目前最新的漏洞,影响范围较广
,低于Apache Struts 2.3.35

的版本都会受到此次Struts漏洞的攻击,目前apache
官方更新的漏洞补丁,主要是修复commons

fileupload上传库出现的安全问题,这
个库可以远程执行代码,上传木马后门到网站服务器中去。


 
 
Apache Struts 漏洞描述
 
某知名的安全组织向Apache Struts官方反馈了该漏洞的详细细节,其中就包括了之前版本出现的

漏洞都是因为commons fileupload上传库而导致产生的口袋,目前
的apache版本都在使用低版本

的commons fileupload库,大多数都默认使用,导致
攻击者可以利用上传漏洞,进行远程代码执

行,提权,攻击服务器。Apache 
Struts 2.5.10以上的高版本,不受此次漏洞的影响。
 
 
Apache Struts漏洞级别 严重
 
Apache Struts 安全建议:
 
升级Apache Struts版本的到2.5.18以上的版本,官方网站下载地址是:
 
https://struts.apache.org/download.cgi
 
升级Struts的上传库,commons fileupload的版本到最新版本1.3.3,Struts commons

fileupload官网下载地址:
 
https://commons.apache.org/proper/commons-
 
fileupload/download_fileupload.cgi
 
第三个安全建议:有些项目的开发与设计,可能牵扯到兼容性的问题,导致Apache Struts 不能

直接升级到最新版本,这样的情况需要客户直接在Apache Struts 配
置文件里修改安全参数,

参数如下:

 
 
<dependency>
 
<groupId>commons-fileupload</groupId>
 
<artifactId>commons-fileupload</artifactId>
 
<version>1.3.3</version>
 
</dependency>
 
如果对Apache Struts不是太熟悉的话,也可以直接使用CDN的防护系统,在CDN端做安全过滤

,检测到Apache Struts攻击的时候,直接CDN前端拦截,前提是保障服
务器的源IP不被暴露,

防止攻击者利用host域名绑定来直接攻击服务器。
分享: