亲爱的人文在线会员:
您好!
2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。
为了确保您的业务可靠的运行,我们建议您通过以下措施防范此漏洞被利用,降低业务安全风险:
尽快排查并确认是否使用了Jakarta插件,如果使用了该插件,尽快升级到Struts 2.3.32 或 Struts 2.5.10.1 版本
CVE-2017-5638
Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。
实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。