科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全struts2高危漏洞或可引发互联网安全灾难

struts2高危漏洞或可引发互联网安全灾难

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2013年7月17日是许多安全运维、黑客的不眠之夜……Struts2高危漏洞造成大规模的信息泄露将会影响无数网民(可能无人能够幸免……)利用漏洞,黑客可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。

作者:陈广成 来源:ZDNet安全频道【原创】 2013年7月18日

关键字: struts2 漏洞 网站安全

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 07月18日 综合消息: 2013年7月17日是许多安全运维、黑客的不眠之夜……Struts2高危漏洞造成大规模的信息泄露将会影响无数网民(可能无人能够幸免……)利用漏洞,黑客可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。

据乌云目前掌握的情况:Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作...

以下是国家计算机网络应急技术处理协调中心发布的关于Apache Struts2 远程命令执行高危漏洞和开放重定向高危漏洞的情况通报

安全公告编号:CNTA-2013-0022

近期,我中心主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行漏洞和一个开放重定向漏洞(编号:CNVD-2013-28972,对应CVE-2013-2251; CNVD-2013-28979,对应CVE-2013-2248)。利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。现将有关情况通报如下:

一、漏洞情况分析

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。具体分析情况如下:

1、 Apache Struts远程命令执行漏洞

由于Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。

2、 Apache Struts开放重定向漏洞

Apache Struts 2DefaultActionMapper在处理短路径重定向参数前缀"redirect:"或"redirectAction:"时存在开放重定向漏洞,允许远程攻击者利用漏洞操作"redirect:"或"redirectAction:"后的信息,重定向URL到任意位置。

二、漏洞影响评估

CNVD对远程命令执行漏洞(CNVD-2013-28972)和开放重定向漏洞(CNVD-2013-28979)的评级为“高危”,由于redirect:和redirectAction:此两项前缀为Struts默认开启功能,因此ApacheStruts 2.3.15.1以下版本受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(编号:CNVD-2013-25061,对应CVE-2013-1966)相比,技术评级相同且受影响版本更多。

三、漏洞处置建议

厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。

厂商安全公告:S2-016,S2-017

链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html

http://struts.apache.org/release/2.3.x/docs/s2-017.html

软件升级页面:http://struts.apache.org/download.cgi#struts23151

CNCERT/CNVD将继续跟踪事件后续情况,做好国内相关用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,及时采取措施。如需技术支援,请联系CNVD。电子邮箱:vreport@cert.org.cn,联系电话:010-82990286。

参考链接:

1. http://struts.apache.org/release/2.3.x/docs/s2-016.html

2. http://struts.apache.org/release/2.3.x/docs/s2-017.html

3. http://www.nsfocus.net/vulndb/24131

4. http://www.nsfocus.net/index.php?act=alert&do=view&aid=138

5. http://www.cnvd.org.cn/flaw/show/CNVD-2013-28979

6. http://www.cnvd.org.cn/flaw/show/CNVD-2013-28972

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章