2017的3.8-3.9號(hào)，Apache Struts2出現(xiàn)漏洞，該漏洞影響范圍廣，危害級(jí)別高。輕則系統(tǒng)文件感染，嚴(yán)重則系統(tǒng)癱瘓。

創(chuàng)新互聯(lián)建站是一家集網(wǎng)站建設(shè),康樂(lè)企業(yè)網(wǎng)站建設(shè),康樂(lè)品牌網(wǎng)站建設(shè),網(wǎng)站定制,康樂(lè)網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,康樂(lè)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152）的情況報(bào)送。，國(guó)家信息安全漏洞庫(kù)（CNNVD）對(duì)此進(jìn)行了跟蹤分析，情況如下：

詳情可查看官網(wǎng)：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

360：http://bobao.#/interref/appdetail/43.html

1、漏洞簡(jiǎn)介

Apache Struts是美國(guó)阿帕奇（Apache）軟件基金會(huì)負(fù)責(zé)維護(hù)的一個(gè)開(kāi)源項(xiàng)目，是一套用于創(chuàng)建企業(yè)級(jí)Java Web 應(yīng)用的開(kāi)源MVC框架，主要提供兩個(gè)版本框架產(chǎn)品： Struts 1和Struts 2。

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數(shù)沒(méi)有正確處理用戶輸入的錯(cuò)誤信息。導(dǎo)致遠(yuǎn)程***者可通過(guò)發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務(wù)器上執(zhí)行任意命令。

2、漏洞危害

***者可通過(guò)發(fā)送惡意構(gòu)造的HTTP數(shù)據(jù)包利用該漏洞，在受影響服務(wù)器上執(zhí)行系統(tǒng)命令，進(jìn)一步可完全控制該服務(wù)器，造成拒絕服務(wù)、數(shù)據(jù)泄露、網(wǎng)站造篡改等影響。由于該漏洞利用無(wú)需任何前置條件（如開(kāi)啟dmi ，debug等功能）以及啟用任何插件，因此漏洞危害較為嚴(yán)重。

3、修復(fù)措施

目前，Apache官方已針對(duì)該漏洞發(fā)布安全公告。請(qǐng)受影響用戶及時(shí)檢查是否受該漏洞影響。

3.1）自查方式

用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件，如果這個(gè)版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

3.2）升級(jí)修復(fù)

受影響用戶可升級(jí)版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。

http://struts.apache.org/download.cgi#struts25101

3.3）臨時(shí)緩解

如用戶不方便升級(jí)，可采取如下臨時(shí)解決方案：

刪除commons-fileupload-x.x.x.jar文件（會(huì)造成上傳功能不可用）。切記此方法不要貿(mào)然執(zhí)行，否則會(huì)出現(xiàn)網(wǎng)站不可訪問(wèn)現(xiàn)象，應(yīng)當(dāng)詢問(wèn)相應(yīng)開(kāi)發(fā)人員，核實(shí)再刪除。

4、漏洞后的反思：

4.1）安全隔離，漏洞排查，保障業(yè)務(wù)運(yùn)行。

4.2）有WEB集群支持，防止業(yè)務(wù)不能正常運(yùn)行。

4.3）云服務(wù)器做WEB更好，畢竟專業(yè)的檢查機(jī)制比較好。

4.4）可靠的備份機(jī)制，確保數(shù)據(jù)的完整性。

4.5）后門***檢測(cè)（檢測(cè)系統(tǒng)命令是否被篡改），漏洞掃描，系統(tǒng)安全防護(hù)。

4.6）日志系統(tǒng)的支持（合理判斷是系統(tǒng)由于何總方式***），以及行為審計(jì)。

4.7）漏洞過(guò)后的安全防護(hù)

...

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前名稱：ApacheStruts2（S2-045）漏洞反思總結(jié)-創(chuàng)新互聯(lián)
文章分享：http://www.rwnh.cn/article6/cegeog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、面包屑導(dǎo)航、虛擬主機(jī)、響應(yīng)式網(wǎng)站、商城網(wǎng)站、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)