漏洞预警:Apache Struts 2 远程代码执行漏洞

oschina
 oschina
发布于 2016年03月16日
收藏 21

Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别为高危。

FreeBuf百科:Struts 2

Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。

今天有安全研究员在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-0785),所以Struts 2的开发者和用户都应该知晓这枚漏洞,以防被不法企图者恶意利用。

受影响的Struts 2版本

Struts 2.0.0 – Struts Struts 2.3.24.1

修复建议

当重分配传入Struts标签属性的参数时,总是进行验证

建议用户将Struts升级至 2.3.25版本。

FreeBuf将持续跟踪报道该漏洞细节,请关注。

*参考来源 http://struts.apache.org/docs/s2-029.html,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:漏洞预警:Apache Struts 2 远程代码执行漏洞
加载中

最新评论(32

zhangcan1
zhangcan1

引用来自“zhangcan1”的评论

出个漏洞,看你们这些p民,好像和你们关系很大似的,大家做开发的应该知道,每个框架都有漏洞;像微软干了这么多年操作系统了;漏洞爆出了多少!所以,希望大家以一个平常心,去看待;struts依然世界上流行的java web之一;

引用来自“chenzb”的评论

你个屌b,如今像你还在用struts的人,应该放眼下,不然后面屁股会擦不停!
是啊,我也不想用这个
chenzb
chenzb

引用来自“zhangcan1”的评论

出个漏洞,看你们这些p民,好像和你们关系很大似的,大家做开发的应该知道,每个框架都有漏洞;像微软干了这么多年操作系统了;漏洞爆出了多少!所以,希望大家以一个平常心,去看待;struts依然世界上流行的java web之一;
你个屌b,如今像你还在用struts的人,应该放眼下,不然后面屁股会擦不停!
tinshen
tinshen
虽然说是现在是springmvc是主流,
但是老项目上估计就危险了。
所以提供针对老项目的解决方案,从根本上屏蔽。

http://git.oschina.net/tinshen/struts2fix
JackJew8
JackJew8
struts2 还有人用吗?spring MVC早就支配了java web了。
tinshen
tinshen
https://dist.apache.org/repos/dist/dev/struts/2.3.26/
官方下载地址
https://dist.apache.org/repos/dist/dev/struts/2.3.26/
官方下载地址
https://dist.apache.org/repos/dist/dev/struts/2.3.26/
官方下载地址
闲大赋
闲大赋
老项目 看这个struts帖子

http://my.oschina.net/xiandafu/blog/638259
Fanxme
Fanxme

引用来自“neo-chen”的评论

用 structs 的人都是在干擦屁股的项目
=_=!
zhangcan1
zhangcan1
出个漏洞,看你们这些p民,好像和你们关系很大似的,大家做开发的应该知道,每个框架都有漏洞;像微软干了这么多年操作系统了;漏洞爆出了多少!所以,希望大家以一个平常心,去看待;struts依然世界上流行的java web之一;
tinshen
tinshen
官网没有最新版!!!!
下载来这里:https://github.com/apache/struts/releases
官网没有最新版!!!!
下载来这里:https://github.com/apache/struts/releases
官网没有最新版!!!!
下载来这里:https://github.com/apache/struts/releases
BennyTian
BennyTian
为什么没有操作示例 ?
返回顶部
顶部