特惠 云服务 虚拟主机 服务器托管 服务器租用 企业邮局 域名注册 合作伙伴 了解人文网
文档 备案 控制台
当前位置: 首页> 新闻资讯> 【高危漏洞公告】Struts2远程代码执行漏洞公告
【高危漏洞公告】Struts2远程代码执行漏洞公告
【内容简介】亲爱的人文在线会员: 您好! 2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏…

亲爱的人文在线会员:

 

您好!

 

2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

 

为了确保您的业务可靠的运行,我们建议您通过以下措施防范此漏洞被利用,降低业务安全风险:

 

尽快排查并确认是否使用了Jakarta插件,如果使用了该插件,尽快升级到Struts 2.3.32 或 Struts 2.5.10.1 版本
 

漏洞编号

CVE-2017-5638

漏洞简介

Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。

实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。

影响范围

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

修复方案

 

如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。

 


上一篇:近期活跃的GlobeImposter勒索病毒
下一篇:关于互联网域名注册管理机构审批情况的公示
相关推荐
推荐阅读
人文网服务器配备纯SSD架构打造的高性能存储,旨在为用户提供优质、高效、弹性伸缩的云计算服务。云服务器采用由数据切片技术构建的三层存储功能,切实保护客户数据的安全。同时可弹性扩展的资源用量,为客户业务在高峰期的顺畅保驾护航;灵活多样的计费方式,为客户最大… 云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计… 近年来,关于手机流量资费贵和网速慢是社会关注和领导关切的热点问题,我部一直与相关部委共同深入落实宽带中国战略,推动企业加大网络投资、降低手机流量资费。为落实李克强总理指示,我部将加大今年宽带专项行动中加快4G建设、大幅提升网速等工作的力度,使老百姓上网速… 钢铁行业电子商务如今已发展十年余载,在这块领域下,钢铁行业的展现模式在不断的改变当中。特别地,对行业电子商务而言,作为垂直类的B2B商务平台,电子支付是不可缺少的必要手段。而第三方支付平台的出现符合电子商务的发展需要,也是网上支付业务… OFweek光通讯网讯 宽带已经是大家日常生活必不可少的必须品,也是国民经济的基础建设。不过大家会不会经常有这样的感觉,各大商家打出来的广告十分诱人,超低的价格,超高的带宽。可是越来越多的人发现,在办理了所谓的超高带宽的光纤宽带之后,网速却没有… 第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。第三条 互联网信息服务分为经营性和非…