關于Apache Struts2存在S2-054拒絕服務漏洞與S2-055反序列化漏洞的安全公告

(作者: 文章來源:www.cnvd.org.cn 發布日期:2017-12-04 瀏覽數:)

安全公告編號:CNTA-2017-0081

近日,國家信息安全漏洞共享平臺(CNVD)收錄了 Apache Struts2的兩個中危漏洞,分別是:S2-054拒絕服務漏洞(CNVD-2017-35898,對CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,對應CVE-2017-7525)。攻擊者可利用上述漏洞對目標系統進行Dos攻擊或反序列化代碼執行攻擊。

一、漏洞情況分析

2017年12月1日,Apache Strusts 官方發布了Struts2的兩個中危漏洞,漏洞信息如下:

S2-054拒絕服務漏洞:ApacheStruts REST插件使用了過時的JSON-lib庫,擊者可以通過構造特制的JSON惡意請求造成DOS攻擊。

 S2-055反序列化漏洞:由于ApacheStruts調用了存在反序列化漏洞的Jackson JSON庫,導致了反序列化漏洞的產生。

CNVD對上述漏洞的綜合評級為“中危”。其中FasterXML Jackson-databind存在遠程代碼執行漏洞在2017年8月1日,已被CNVD庫收錄(CNVD-2017-27693)。

二、漏洞影響范圍

Struts 2.5 – Struts 2.5.14

三、防護建議

S2-054修復建議:

方法一:升級到Apache Struts版本2.5.14.1。

方法二:使用Jackson處理程序替換默認的JSON-lib處理程序,替換方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

S2-055修復建議:

方法一:升級到Apache Struts版本2.5.14.1。

方法二:手動將項目中的com.fasterxml.jackson升級到版本2.9.2,詳情參考:

https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770

附:參考鏈接:

https://cwiki.apache.org/confluence/display/WW/S2-054

https://cwiki.apache.org/confluence/display/WW/S2-055

http://www.securityfocus.com/bid/99623

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693

http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898



轉自:http://www.cnvd.org.cn/webinfo/show/4299

168彩票网