關(guān)于Apache Struts2存在S2-054拒絕服務(wù)漏洞與S2-055反序列化漏洞的安全公告
發(fā)布時間:2017-12-04近日,,國家信息安全漏洞共享平臺(CNVD)收錄了 Apache Struts2的兩個中危漏洞,,分別是:S2-054拒絕服務(wù)漏洞(CNVD-2017-35898,,對CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,,對應(yīng)CVE-2017-7525),。攻擊者可利用上述漏洞對目標(biāo)系統(tǒng)進行Dos攻擊或反序列化代碼執(zhí)行攻擊。
一,、漏洞情況分析
2017年12月1日,,Apache Strusts 官方發(fā)布了Struts2的兩個中危漏洞,漏洞信息如下:
S2-054拒絕服務(wù)漏洞:Apache Struts REST插件使用了過時的JSON-lib庫,,擊者可以通過構(gòu)造特制的JSON惡意請求造成DOS攻擊,。
S2-055反序列化漏洞:由于Apache Struts調(diào)用了存在反序列化漏洞的Jackson JSON庫,導(dǎo)致了反序列化漏洞的產(chǎn)生,。
CNVD對上述漏洞的綜合評級為“中?!薄F渲蠪asterXML Jackson-databind存在遠(yuǎn)程代碼執(zhí)行漏洞在2017年8月1日,,已被CNVD庫收錄(CNVD-2017-27693),。
二、漏洞影響范圍
Struts 2.5 – Struts 2.5.14
三,、防護建議
S2-054修復(fù)建議:
方法一:升級到Apache Struts版本2.5.14.1,。
方法二:使用Jackson處理程序替換默認(rèn)的JSON-lib處理程序,替換方法:
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
S2-055修復(fù)建議:
方法一:升級到Apache Struts版本2.5.14.1,。
方法二:手動將項目中的com.fasterxml.jackson升級到版本2.9.2,,詳情參考:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770
附:參考鏈接:
https://cwiki.apache.org/confluence/display/WW/S2-054
https://cwiki.apache.org/confluence/display/WW/S2-055
http://www.securityfocus.com/bid/99623
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693
http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898
