Apache Struts2 再現漏洞

jopen 11年前發布 | 30K 次閱讀 Struts2

  Apache Struts 團隊上周剛修復了一個潛在的遠程命令執行漏洞,今天再次發布新版本 2.3.14.3,修復了另一個重要的安全漏洞。 

  Struts 框架允許基于通配符的動作映射,且當一個請求不匹配動作時,會嘗試加載一個基于動作名稱的 JSP 文件。由于動作名稱中可以嵌入 OGNL 表達式,因此這有可能導致攻擊者在服務器端執行 Java 代碼。 

  在新版本中,可以檢查動作名稱是否匹配正則表達式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理員也可以通過 struts.xml 來修改所允許動作名稱的相關正則表達式),并且從 OgnlTextParser 中移除了雙重求值功能。 

  你可以通過 S2-015 安全公告來查看問題的細節和相關示例。 

  新版本下載地址:http://struts.apache.org/download.cgi#struts23143

來自: www.iteye.com
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/16e88a3