Apache Struts S2-033远程代码执行漏洞预警(CVE-2016-3087) | U刻
  • Apache Struts S2-033远程代码执行漏洞预警(CVE-2016-3087)

    栏目:安全资讯

    anquanpeitu

    近日struts2官方发布了一个远程代码执行漏洞(CVE-2016-3087),该漏洞主要影响Struts 2.3.20 – Struts 2.3.28 (除2.3.20.3、2.3.24.3、2.3.28.1外)版本,攻击者可利用该漏洞获取Struts程序的权限远程执行任意命令。

    受影响版本:
    Struts 2.3.20 – Struts 2.3.28 (2.3.20.3、2.3.24.3、2.3.28.1除外)

    漏洞描述:
    使用到REST插件的Struts2应用,在开启动态方法调用(DMI)的情况下,会被攻击者实现远程代码执行攻击。
    漏洞详情

    漏洞验证:
    确认是否使用到REST插件,如使用到该插件,同时检查Struts2的配置文件struts.xml,若“struts.enable.DynamicMethodInvocation” 为“true”,且版本在受影响版本范围内,则说明受影响,否则不受影响

    修复方案:
    如果您使用了Struts2并在受影响版本内,我们建议您尽快按照如下方案进行修复:
    1、禁用动态方法调用(DMI),修改Struts2的配置文件struts.xml,将struts.enable.DynamicMethodInvocation设置为“false”;
    2、目前官方已经推出了2.3.20.3、2.3.24.3和2.3.28.1修复这个问题,大家可以针对自己所使用的版本进行升级。

    下载地址