天天夜碰日日摸日日澡性色AV ,日韩欧美在线综合网,中国成熟妇女毛茸茸,bbw丰满大肥奶肥婆

安全公告編號:CNTA-2017-0016

3月7日，國家信息安全漏洞共享平臺（CNVD）收錄了杭州安恒信息技術有限公司發(fā)現(xiàn)的Apache struts2 S2-045遠程代碼執(zhí)行漏洞（CNVD-2017-02474，對應CVE-2017-5638），遠程攻擊者利用該漏洞可直接取得網(wǎng)站服務器控制權(quán)。由該應用較為廣泛，且攻擊利用代碼已經(jīng)公開，已導致互聯(lián)網(wǎng)上大規(guī)模攻擊的出現(xiàn)。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級web應用框架，并成為當時國內(nèi)外較為流行的容器軟件中間件。jakarta是apache組織下的一套Java解決方案的開源軟件的名稱，包括很多子項目。Struts就是jakarta的緊密關聯(lián)項目。

根據(jù)CNVD技術組成員單位——杭州安恒信息技術有限公司提供的分析情況，基于JakartaMultipart parser的文件上傳模塊在處理文件上傳(multipart)的請求時候?qū)Ξ惓Ｐ畔⒆隽瞬东@，并對異常信息做了OGNL表達式處理。但在在判斷content-type不正確的時候會拋出異常并且?guī)螩ontent-Type屬性值，可通過精心構(gòu)造附帶OGNL表達的URL導致遠程代碼執(zhí)行。

CNVD對漏洞的綜合評級均為“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞，因此有較多升級后的Apache struts2的版本為2.3.5及以上版本，極有可能受到漏洞的影響。

二、漏洞影響范圍

受漏洞影響的版本為：Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13時，互聯(lián)網(wǎng)上已經(jīng)公開了漏洞的攻擊利用代碼，同時已有安全研究者通過CNVD網(wǎng)站、補天平臺提交了多個受漏洞影響的省部級黨政機關、金融、能源、電信等行業(yè)單位以及知名企業(yè)門戶網(wǎng)站案例。根據(jù)CNVD秘書處抽樣測試結(jié)果，互聯(lián)網(wǎng)上采用Apache Struts 2框架的網(wǎng)站（不區(qū)分Struts版本，樣本集>500，覆蓋政府、高校、企業(yè)）受影響比例為60.1%。

三、漏洞處置建議

Apache Struts官方已在發(fā)布的新的版本中修復了該漏洞。建議使用Jakarta Multipartparser模塊的用戶升級到Apache Struts版本2.3.32或2.5.10.1。除了升級struts版本外，為有效防護漏洞攻擊，建議用戶采取主動檢測、網(wǎng)絡側(cè)防護的方法防范黑客攻擊：

（一）無害化檢測方法(該檢測方法由安恒公司提供)：

在向服務器發(fā)出的http請求報文中，修改Content-Type字段：

Content-Type:%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data，如返回response報文中存在vul：vul字段項則表明存在漏洞。

（二）網(wǎng)絡側(cè)防護技術措施

建議在網(wǎng)絡防護設備上配置過濾包含如下#nike='multipart/form-data' 以及#container=#context['com.opensymphony.xwork2.ActionContext.container'字段串（及相關字符轉(zhuǎn)義形式）的URL請求。

CNCERT/CNVD已著手組織國內(nèi)安全企業(yè)協(xié)同開展相關檢測和攻擊監(jiān)測相關工作，后續(xù)將再次匯總處置工作情況。

附：參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-045

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474