预警编号:NS-2018-0036
2018-11-08
TAG: | Apache、Struts2、CVE-2016-100031、反序列化、远程代码执行 |
---|---|
危害等级: | 高,此漏洞影响所有未进行修复的Struts2.3.x版本,可导致远程代码执行。 |
版本: | 1.0 |
1
漏洞概述
近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。
Commons是Apache开放源代码组织的一个Java子项目,其中FileUpload是用来处理HTTP文件上传的子项目。commons-fileupload组件主要用来协助开发者实现Web文件上传功能。
参考链接:
https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/
SEE MORE →
2影响范围
受影响版本:
- Apache Struts <= 2.3.36
- Apache Common FileUpload < 1.3.3
不受影响版本:
- Apache Struts >= 2.5.12
- Apache Common FileUpload 1.3.3
3漏洞排查
此漏洞产生于低版本的Struts commons-fileupload组件,当应用系统引入相关组件时,将存在被攻击者远程攻击的风险。建议由应用开发人员排查引入组件的版本是否处于受影响范围之内。
查看Maven配置文件pom.xml中关于组件的版本。如:
<dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.2</version></dependency> |
---|
若红字所示版本在受影响范围内,则请用户尽快升级commons-fileupload组件至不受影响版本,以保证长期有效的防护。
4漏洞防护
官方已发布了修复版本,使用Apache Struts 2.3.x版本框架的用户请尽快升级至最新版本,或者通过更新commons-fileupload组件版本的方式,防护因漏洞带来的风险。
- 离线更新commons-upload组件
将旧版本commons-fileupload库替换为修复版本,对此漏洞进行防护。具体步骤如下:
1、 下载版本号为1.3.3的commons-fileupload组件,下载地址如下:
http://mirrors.hust.edu.cn/apache//commons/fileupload/binaries/commons-fileupload-1.3.3-bin.zip
2、 使用下载的修复版本组件替换掉WEB-INF/lib路径下的旧版本commons-fileupload组件。
3、 重启Tomcat、Weblogic等中间件应用。
- 应用重编译升级
开发人员可更新Maven或Gradle配置,对应用重新编译发布,完成组件更新。具体配置如下:
Maven配置
<!-- https://mvnrepository.com/artifact/commons-fileupload/commons-fileupload --><dependency> <groupId>commons-fileupload</groupId> <artifactId>commons-fileupload</artifactId> <version>1.3.3</version></dependency> |
---|
Gradle配置
// https://mvnrepository.com/artifact/commons-fileupload/commons-fileuploadcompile group: 'commons-fileupload', name: 'commons-fileupload', version: '1.3.3' |
---|
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。