近日,著名J2EE框架Struts2中存在遠程代碼執行的嚴重漏洞。目前Struts2官方已經確認漏洞(漏洞編號S2-045,CVE編號:CVE-2017-5638),並定級爲高危風險。
該漏洞影響範圍極廣,影響國內外絕大多數使用Struts2開發框架的站點。受影響的軟件版本爲:Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10
攻擊者可通過發送惡意構造的HTTP數據包利用該漏洞,在受影響服務器上執行系統命令,進一步可完全控制該服務器,造成拒絕服務、數據泄露、網站造篡改等影響。由於該漏洞利用無需任何前置條件(如開啓dmi,debug等功能)以及啓用任何插件,因此漏洞危害極爲嚴重。
升級方案:
-
升級到Struts2.3.32 或者Struts 2.5.10.1版本。官方升級地址:
-
https://dist.apache.org/repos/dist/release/struts/2.5.10.1/
-
https://dist.apache.org/repos/dist/release/struts/2.3.32/
------------------------------------------------------------------------------------------------
需要更換的包清單如下:
freemarker-2.3.16.jar
ognl-3.0.6.jar
slf4j-api-1.6.1.jar
struts2-config-browser-plugin-2.3.16.jar
struts2-convention-plugin-2.3.16.jar
struts2-core-2.3.16.jar
struts2-json-plugin-2.3.16.jar
struts2-spring-plugin-2.3.16.jar
xwork-core-2.3.16.jar