发布日期:2016-05-25 来源:人社部信息化领导小组办公室 浏览次数:1388
一、漏洞情况分析
Struts2是第二代基于Model-View-Controller(MVC)模型的Java企业级Web应用框架,是一款国内外较为流行的Web中间件。Struts2的核心jar包struts2-core中,存在一个default.properties的默认配置文件用于配置全局信息,当配置项struts.enable.DynamicMethodInvocation=true时,即开启动态方法调用功能。尽管在Struts2目前的安全策略中,对部分动态调用方法进行了特殊字符传递的限制,但在该漏洞中攻击者仍能通过OGNL表达式静态调用的方式进行绕过,进而在服务器端执行任意代码。
二、漏洞影响范围
漏洞影响Struts 2.0.0-2.3.28 (除2.3.20.2和2.3.24.2以外)版本,目前漏洞利用代码已经在互联网上快速传播。根据第三方漏洞通报平台公布的信息,已经出现涉及银行、保险行业单位以及大型电信企业的信息系统受漏洞影响的案例报告。
三、漏洞修补措施
目前,Apache Struts官方网站已发布了升级补丁,用户可以通过两种方式修复该漏洞。
方法一:升级Struts2至Struts 2.3.20.2,2.3.24.2,2.3.28.1版本修复该漏洞。(注:更新地址:https://cwiki.apache.org/confluence/display/WW/Migration+Guide)
方法二:为应急修复,可以在Struts2配置文件中关闭动态方法调用来避免漏洞被利用。(注:配置属性信息<constantname“struts.enable.DynamicMethodInvocation”value=“false”/>,此操作可能影响用户信息系统其他正常功能,仅作为临时应急修复手段)。