UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警 – U刻

UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警 – U刻

UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警

UCloud-201709-001:Struts2远程代码命令执行漏洞安全预警

云安全团队

2017.09.06
栏目：安全资讯

尊敬的UCloud用户:

Apache Struts发布最新安全公告，Apache Struts2的REST插件存在远程代码执行的高危漏洞，危害严重。请及时检查您所使用的Struts2是否受影响，并采取安全防御措施。

影响范围

Struts 2.5 – Struts 2.5.12

修复方案

1、升级Struts到最新版本Struts 2.5.13 或 Struts 2.3.34

2、在不使用时删除StrutsREST插件，或在配置文件中加入如下代码，限制服务端文件的扩展名：

<constantname=”struts.action.extension” value=”xhtml,,json” />

3、部署UEWAF进行安全防御:https://www.ucloud.cn/site/product/uewaf.html

注意：使用REST插件的用户，升级前请做好充分测试和备份工作。

漏洞详情

CVE-2017-9805:启用Struts REST的XStream handler去反序列化处理一个没有经过任何类型过滤的XStream的实例，可能导致在处理XML时造成远程代码执行漏洞。

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-052

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章