Strusts2 高危漏洞又來了，老項(xiàng)目自查起來！

點(diǎn)擊上方藍(lán)色“程序猿DD”，選擇“設(shè)為星標(biāo)”

回復(fù)“資源”獲取獨(dú)家整理的學(xué)習(xí)資料！

來源 |?https://www.anquanke.com/post/id/214104

0x01 漏洞簡(jiǎn)述

2020年08月13日， 360CERT監(jiān)測(cè)發(fā)現(xiàn)Apache官方發(fā)布了Struts2遠(yuǎn)程命令執(zhí)行漏洞的風(fēng)險(xiǎn)通告，該漏洞編號(hào)為CVE-2019-0230，漏洞等級(jí)：高危。

攻擊者可以通過構(gòu)造惡意的OGNL表達(dá)式，并將其設(shè)置到可被外部輸入進(jìn)行修改，且會(huì)執(zhí)行OGNL表達(dá)式的Struts2標(biāo)簽的屬性值，引發(fā)OGNL表達(dá)式解析，最終造成遠(yuǎn)程代碼執(zhí)行的效果。

對(duì)此，360CERT建議廣大用戶及時(shí)將Apache Struts2進(jìn)行升級(jí)完成漏洞修復(fù)。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

?

0x02 風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下：

?

0x03 漏洞詳情

Apache Struts 2是一個(gè)用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的開放源代碼網(wǎng)頁應(yīng)用程序架構(gòu)。它利用并延伸了Java Servlet API，鼓勵(lì)開發(fā)者采用MVC架構(gòu)。

該漏洞有三個(gè)限制條件：

1. Struts2標(biāo)簽的屬性值可執(zhí)行OGNL表達(dá)式

2. Struts2標(biāo)簽的屬性值可被外部輸入修改

3. Struts2標(biāo)簽的屬性值未經(jīng)安全驗(yàn)證

僅當(dāng)以上三個(gè)條件都滿足時(shí)，攻擊者可以通過構(gòu)造惡意的OGNL表達(dá)式，造成遠(yuǎn)程命令執(zhí)行的效果。受夠了Struts2？把Spring Boot和Spring MVC改造提上日程吧！教程已備（http://blog.didispace.com/spring-boot-learning-2x/），干就完了！

0x04 影響版本

• Apache Struts2：2.0.0-2.5.20

?

0x05 修復(fù)建議

• 升級(jí)到Struts 2.5.22或更高版本。

• 或者開啟ONGL表達(dá)式注入保護(hù)措施

?

0x06 時(shí)間線

2020-08-13?Apache Struts2官方發(fā)布安全通告

2020-08-13?360CERT發(fā)布通告

?

0x07 參考鏈接

1. Apache Struts2官方安全通告：https://cwiki.apache.org/confluence/display/WW/S2-059

往期推薦

炫酷，Spring Boot + ECharts 實(shí)現(xiàn)用戶訪問地圖可視化（附源碼）

如何保證緩存與數(shù)據(jù)庫的雙寫一致性？

贈(zèng)書：百萬暢銷書《重構(gòu)》再版，聽Martin Fowler聊聊新版的故事

ScheduledThreadPool中的Leader-Follow模式你知道不？

Spring Boot 中的 RestTemplate不好用？試試 Retrofit ！

離職成為自由開發(fā)者的100天

我在星球與你分享經(jīng)驗(yàn)、交流成長

???????

星球兩大分享內(nèi)容