【漏洞预警】CNNVD关于Apache Struts2(S2-049)漏洞情况的通报

发布时间:2017-07-12   

       近日,国家信息安全漏洞库(CNNVD)接到安恒信息报送的有关Apache Struts2存在拒绝服务漏洞(CNNVD-201707-498)的情况。7月11日,Apache官方网站针对上述漏洞发布了安全公告(S2-049)。CNNVD对此进行了跟踪分析,情况如下:

一、 漏洞简介

       Apache Struts2是Apache基金会发布的一款实现了MVC模式的中间件软件,广泛应用于Web开发和大型网站建设。

       当开发人员在Struts2框架中,使用Spring AOP(如Spring Security)进行权限控制时,攻击者可在Struts2调用Spring Security AOP代理生成的Action时,通过ParametersInterceptor拦截器设置被代理的Action属性,从而导致被代理类里面某些动态设置的属性值被篡改,进而导致目标主机拒绝服务。

二、漏洞危害

       由于Struts2广泛应用于大型互联网企业、政府、金融机构等网站建设,影响范围较广。根据CNNVD数据统计,目前超过3万个网站使用了Struts2。

       该漏洞的利用要求在Struts2框架中使用Spring Security,并且认证成功的情况下,才能成功,利用条件较为苛刻。

三、修复措施

       目前,Apache官方已针对上述漏洞发布了升级补丁,部署Apache Struts2的单位,应及时检查所使用的Struts2版本是否在受影响范围内。如受影响,可升级至Struts2 2.5.12版本,链接如下:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12


       本报告由CNNVD技术支撑单位——杭州安恒信息技术有限公司提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD及时联系。

       联系方式: cnnvd@itsec.gov.cn




漏洞预警快速查询

热点漏洞

更多