乱伦免费小说黄色电影,蜜桃人妻在线,欧美真人性爱精品,日逼啊啊啊,在线观看国内自拍,久久444,亚洲国产乱伦无码,日皮网站在线观看

Apache Struts重現(xiàn)嚴(yán)重漏洞，你升級(jí)了嗎？

共 1173字，需瀏覽 3分鐘

2022-04-25 08:19

點(diǎn)擊關(guān)注公眾號(hào)，Java干貨及時(shí)送達(dá)

文?| 白開(kāi)水

出品 | OSC開(kāi)源社區(qū)（ID：oschina2013)

Apache Software Foundation 發(fā)布了一個(gè)安全公告 S2-062，以解決 Struts 2.0.0 到 2.5.29 版本中存在的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞；攻擊者可以利用此漏洞來(lái)控制受影響的系統(tǒng)。對(duì)此，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 也發(fā)布公告敦促組織查看?Apache 的公告，并盡快升級(jí)到最新的 Struts 2 補(bǔ)丁版本。

該漏洞被跟蹤為 CVE-2021-31805，是由于 2020 年 CVE-2020-17530 (S2-061)?的不完整修復(fù)造成的。也就是說(shuō)，這一漏洞早在 2020 年就已存在且當(dāng)時(shí)被認(rèn)為已修復(fù)，但事實(shí)證明問(wèn)題并未完全得到解決。

在 2020 年，GitHub 的研究人員 Alvaro Munoz 和 Aeye 安全實(shí)驗(yàn)室的 Masato Anzai 報(bào)告了?Struts 2 版本 2.0.0 - 2.5.25 在某些情況下存在一個(gè) OGNL 注入漏洞，編號(hào)為 CVE-2020-17530，在 CVSS 嚴(yán)重性方面獲得了 9.8 分（滿(mǎn)分 10 分）。

“如果開(kāi)發(fā)者使用 %{...} 語(yǔ)法進(jìn)行強(qiáng)制 OGNL 評(píng)估，標(biāo)簽的一些屬性仍然可以執(zhí)行雙重評(píng)估。對(duì)不信任的用戶(hù)輸入使用強(qiáng)制 OGNL 評(píng)估可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行和安全性能下降。”

對(duì)象圖導(dǎo)航語(yǔ)言 (Object-Graph Navigation Language,OGNL)?是一種開(kāi)源的 Java 表達(dá)式語(yǔ)言，簡(jiǎn)化了 Java 語(yǔ)言中的表達(dá)式范圍。它被集成在 Struts2 等框架中，作用是對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)；擁有類(lèi)型轉(zhuǎn)換、訪問(wèn)對(duì)象方法、操作集合對(duì)象等功能。

盡管 Apache 在 Struts 2.5.26 中解決了 2020 年所報(bào)告的漏洞，但研究人員 Chris McCown?發(fā)現(xiàn)，所應(yīng)用的修復(fù)方案并不完整。他向 Apache 報(bào)告稱(chēng)，“雙重評(píng)估”問(wèn)題仍然可以在 Struts 版本 2.5.26 及更高版本中重現(xiàn)。

作為解決措施，Apache 方面建議開(kāi)發(fā)人員避免基于不受信任的用戶(hù)輸入在標(biāo)簽屬性中使用強(qiáng)制 OGNL 評(píng)估，和/或升級(jí)到 Struts 2.5.30?或更高版本，以檢查表達(dá)式評(píng)估是否不會(huì)導(dǎo)致雙重評(píng)估。并建議遵循安全指南以獲得最佳實(shí)踐。

? ? ?
往
期
推
薦
1、Windows新功能太“社死”！教你一鍵快速禁用
2、發(fā)現(xiàn)競(jìng)爭(zhēng)對(duì)手代碼中的低級(jí)Bug后，我被公司解雇并送上了法庭
3、為什么說(shuō)技術(shù)人一定要有產(chǎn)品思維
4、操作系統(tǒng)聯(lián)合創(chuàng)始人反目成仇，這個(gè)Linux發(fā)行版危在旦夕
5、Java8八年不倒、IntelliJ IDEA力壓Eclipse
點(diǎn)分享
點(diǎn)收藏
點(diǎn)點(diǎn)贊
點(diǎn)在看

點(diǎn)贊

評(píng)論

舉報(bào)

Apache Struts重現(xiàn)嚴(yán)重漏洞，你升級(jí)了嗎？

往期推薦

往
期
推
薦