1. 威客安全首页
  2. 安全资讯

Apache Struts爆最新漏洞

Apache Struts爆最新漏洞

TAG:

Struts、S2-059、CVE-2019-0230、S2-060、CVE-2019-0233

洞危害:

攻击者利用漏洞,可实现远程代码执行和拒绝服务攻击。
版本:
1.0


漏洞公告

2020年8月13日,Apache官方发布Struts 2.0.0到2.5.20版本中存在OGNL表达式注入的远程代码执行漏洞(S2-059)和拒绝服务漏洞(S2-060)公告,对应CVE编号:CVE-2019-0230、CVE-2019-0233,相关链接:

https://cwiki.apache.org/confluence/display/WW/S2-059

https://cwiki.apache.org/confluence/display/ww/s2-060



根据公告,在Struts 2.0.0版本的double evaluation机制中,当在Struts标签属性内强制执行OGNL evaluation时存在被恶意注入OGNL表达式的风险,从而实现代码执行效果;另外在将文件上传到使用getter暴露文件的Action时,恶意攻击者可以操纵该请求,实现拒绝服务效果,建议部署有该框架的应用及时升级到漏洞修复的版本。


Apache Struts历史安全公告参考:
https://cwiki.apache.org/confluence/display/WW/Security+Bulletin

影响范围

受影响版本
  • Apache Struts 2.0.0 – 2.5.20

不受影响版本
  • Apache Struts >= 2.5.22

漏洞检测

 版本检测
maven的项目可通过pom.xml查看当前使用的struts2版本:
Apache Struts爆最新漏洞
也可通过查看lib中的核心包查看strut2版本:
Apache Struts爆最新漏洞
若当前版本在受影响范围内,则可能存在安全风险。 

缓解措施


高危:目前漏洞细节和利用代码已经部分公开,参考S2-029、S2-036的利用应该很快会出现利用代码,建议及时测试并升级到漏洞修复的版本,或部署必要的安全防护设备拦截恶意攻击代码。
 
安全开发和安全运营建议:
基于Struts 2的开发不要在标签属性中使用%{…}语法引用未经验证的用户可修改输入;除了Struts 2,近期还应该及时关注Tomcat、Weblogic、WebSphere、JBOSS、Spirng FrameWork、Shiro、CAS、Fastjson等服务和框架组件的漏洞公告。

该漏洞已经传播开来,安全研究员对此漏洞进行了深入分析,得出结论:此漏洞利用条件苛刻,无法大规模利用。建议客户不必惊慌,及时安装软件更新。
复现了CVE-2020-13921漏洞,
复现截图如下:
Apache Struts爆最新漏洞

文章来源:

https://mp.weixin.qq.com/s/DnTxH7G7HcGk0-wcLIt9ig

精彩推荐
Apache Struts爆最新漏洞

现有最全的网络安全练习靶场合集

Apache Struts爆最新漏洞


国内黑客都在用什么聊天?

Apache Struts爆最新漏洞


Intel源代码泄露后,被国人查出真的有后门,密码:Intel123

Apache Struts爆最新漏洞


Apache Struts爆最新漏洞




原文始发于微信公众号(黑白之道):Apache Struts爆最新漏洞

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论