警惕Apache Struts2最新(CVE-2017-5638,S02-45)高危远程代码执行漏洞-华盟网

警惕Apache Struts2最新(CVE-2017-5638,S02-45)高危远程代码执行漏洞

华盟学院山东省第二期线下学习计划

Apache Struts 2是世界上最流行的Java Web服务器框架之一。

然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10

概要

基于Jakarta Multipart解析器执行文件上传时可能的远程执行代码。

1

问题

可能执行具有恶意Content-Type 值的RCE攻击  。如果Content-Type 值无效,则抛出异常,然后用于向用户显示错误消息。

建议

如果您使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版。你也可以切换到不同的实现多部分解析器。

向后兼容性

预期不会有向后不兼容问题。

解决方法

www.idc126.com

实现一个Servlet过滤器,它将验证Content-Type 并丢弃具有可疑值不匹配的请求 multipart/form-data.

 

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论