当前位置:首页 > 技术 > 正文内容

「漏洞通告」Apache Struts远程代码执行漏洞 S2-059/S2-060安全漏洞 (CVE-2019-0230,CVE-2019-0233)

醉清风2020-08-14技术220

一、综述

北京时间8月13日,Struts官方发布新的安全通告,公布了2个安全漏洞:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。

image-108-1024x312.png

这2个漏洞均已在2019年11月份发布的Struts 2.5.22版本中修复,建议未升级的用户尽快升级进行防护。

通告链接:https://struts.apache.org/announce.html#a20200813

二、漏洞概述

  • S2-059

该漏洞(CVE-2019-0230)源于Apache Struts的框架在被强制使用时,会对标签的属性进行二次求值,这可能导致远程代码执行。只有在Struts标签属性中强制使用OGNL表达式时,才能触发漏洞。

更多信息:https://cwiki.apache.org/confluence/display/ww/s2-059

  • S2-060

该漏洞(CVE-2019-0233)源于在上传文件时,攻击者可以通过一个特别的请求造成访问权限的错误,从而导致上传操作失败,造成拒绝服务攻击。

更多信息:https://cwiki.apache.org/confluence/display/ww/s2-060

三、受影响产品版本

  • Struts 2.0.0 – Struts 2.5.20

四、不受影响版本

五、解决方案

Struts官方已经发布了新版本修复了上述漏洞,请受影响的用户尽快升级进行防护。

若不方便升级的用户,可以参考Struts官方提供的缓解措施:

  • S2-059

  1. 将输入参数的值重新分配给某些Struts的标签属性时,请始终对其进行验证。

  2. 考虑激活Proactive OGNL Expression Injection Protection。

参考链接:https://cwiki.apache.org/confluence/display/ww/s2-059

  • S2-060

在struts-default.xml文件中,找到struts.excludedPackageNames常数,并将jave.io.以及java.nio.添加到其属性中。

参考链接:https://cwiki.apache.org/confluence/display/WW/S2-060

扫描二维码至手机访问

扫描二维码推送至手机访问。

版权声明:本文由红柚酱发布,如需转载请注明出处。

转载请注明出处:https://www.notenet.cn/post/128.html

标签: 安全漏洞

相关文章

如何实现WordPress文章页自动推送提交MIP/AMP页面?

如何实现WordPress文章页自动推送提交MIP/AMP页面?

如果是安装 AMP 插件实现的 AMP 页面或者 MIP 页面,那么文章的 AMP 地址是在文章原地址后面加后缀 /amp,页面的 AMP 地址是在页面原地址后面加后缀 ?amp ,MIP 的则加...

Nginx日志常用统计分析命令

Nginx日志常用统计分析命令

IP相关统计统计IP访问量(独立ip访问数量)awk '{print $1}' access.log | sort -n&n...

热点新闻滚动(文字单行向上滚动)特效的代码

热点新闻滚动(文字单行向上滚动)特效的代码

我们在很多大型门户网站都会有看到有些一热点新闻都会一直向上滚动,下面我就来给大家推荐一款Javascript中热点新闻滚动特效代码,有需要了解的朋友可以参考一下<!DOCTYPE ht...

laravel中artisan命令的使用详解

laravel中artisan命令的使用详解

artisan工具,首先,这个是一个php文件,它放在我们laravel框架的根目录。Artisan工具简介Artisan 是 Laravel 中自带的命令行工具的名称。它提供了一些对您的应用开发有帮...

不小心执行 rm -f,该如何恢复?

不小心执行 rm -f,该如何恢复?

前言每当我们在生产环境服务器上执行rm命令时,总是提心吊胆的,因为一不小心执行了误删,然后就要准备跑路了,毕竟人不是机器,更何况机器也有bug,呵呵。那么如果真的删除了不该删除的文件,比如数据库、日志...