Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日

分类专栏： 网站安全检测 服务器安全设置 网站系统存在安全漏洞自查整改报告 网站漏洞整改情况报告 网络安全技术保护措施限期整改通知书 信息系统安全等级保护限期整改通知书 服务器安全
版权
2018年11月8日，SINE安全监控检测中心，检测到Apache Struts官方更新了一个Struts漏洞补丁，这个漏洞是Apache Struts目前最新的漏洞，影响范围较广，低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的***，目前apache官方更新的漏洞补丁，主要是修复commonsfileupload上传库出现的安全问题，这个库可以远程执行代码，上传***后门到网站服务器中去。

Apache Struts 漏洞描述

某知名的安全组织向Apache Struts官方反馈了该漏洞的详细细节，其中就包括了之前版本出现的漏洞都是因为commons fileupload上传库而导致产生的口袋，目前的apache版本都在使用低版本的commons fileupload库，大多数都默认使用，导致***者可以利用上传漏洞，进行远程代码执行，提权，***服务器。Apache Struts 2.5.10以上的高版本，不受此次漏洞的影响。

Apache Struts漏洞级别 严重

Apache Struts 安全建议：

升级Apache Struts版本的到2.5.18以上的版本

升级Struts的上传库，commons fileupload的版本到最新版本1.3.3，Struts commons

fileupload

fileupload/download_fileupload.cgi

第三个安全建议：有些项目的开发与设计，可能牵扯到兼容性的问题，导致Apache Struts 不能直接升级到最新版本，这样的情况需要客户直接在Apache Struts 配置文件里修改安全参数，

参数如下：

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

如果对Apache Struts不是太熟悉的话，也可以直接使用CDN的防护系统，在CDN端做安全过滤，检测到Apache Struts***的时候，直接CDN前端拦截，前提是保障服务器的源IP不被暴露，防止***者利用host域名绑定来直接***服务器。