UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警 | U刻
  • UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警

    栏目:安全资讯

    尊敬的UCloud用户:

    Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,危害严重。请及时检查您所使用的Struts2是否受影响,并采取安全防御措施。

    影响范围

    Struts 2.5 – Struts 2.5.12

    修复方案
    1、升级Struts到最新版本Struts 2.5.13Struts 2.3.34
    2、在不使用时删除StrutsREST插件,或在配置文件中加入如下代码,限制服务端文件的扩展名:
    <constantname=”struts.action.extension” value=”xhtml,,json” />
    3、部署UEWAF进行安全防御:https://www.ucloud.cn/site/product/uewaf.html

    注意:使用REST插件的用户,升级前请做好充分测试和备份工作。

    漏洞详情

    CVE-2017-9805:启用Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例,可能导致在处理XML时造成远程代码执行漏洞。

    参考链接