最新!Apache Struts 又爆安全漏洞(危害程度特别大)


Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。

很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。

具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰?

漏洞说明

攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务器拒绝服务。文件上传又有漏洞,这个真是牛皮癣啊,一直好不了。
影响范围:所有使用 Struts 2 的用户

  • 危害等级:中
  • 危害程度:拒绝服务
  • 受影响版本:2.0.0 ~ 2.5.20
  • 厂商:Apache
  • 发布时间:2020-08-11
  • 报告者:Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
  • CVE编号:CVE-2019-0233

漏洞修复

目前 Apache 已经在官网发布了漏洞修复方案,用户可以升级到 Struts 2.5.22+ 以修复漏洞。

如果升级版本太麻烦,实际情况不允许,也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 标签添加 java.io. 和 java.nio. 以排除这两个包名。

漏洞详情及修复链接:

https://cwiki.apache.org/confluence/display/ww/s2-060

尽快升级保平安吧!


原文链接:https://www.cnblogs.com/javastack/p/13512304.html