近日，Apache Struts2 發(fā)布的最新安全公告S2-029中顯示，Struts2 存在遠(yuǎn)程代碼執(zhí)行漏洞。Struts 2.0.0 – Struts2.3.24.1 版本均受到該漏洞影響。這個(gè)漏洞危險(xiǎn)級(jí)別被定義為高危，漏洞CVE 編號(hào)：CVE-2016-0785。目前，深信服提供了Apache Struts2 S2-029 遠(yuǎn)程代碼執(zhí)行漏洞的本地檢測(cè)方案。

背景介紹

Struts2 是全球使用最廣泛的Javaweb 服務(wù)器框架之一。Struts2 是Struts 的下一代產(chǎn)品，是在struts1和WebWork 的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts2 框架。

 

之前S2-005,S2-009,S2-013,S2-016,S2-20 都存在遠(yuǎn)程命令執(zhí)行漏洞，使得大量的網(wǎng)站系統(tǒng)遭受入侵。因此，該漏洞一經(jīng)曝光就在安全圈內(nèi)引起軒然大波。

 

 漏洞概要

S2-029 漏洞產(chǎn)生原因主要在于，Struts2的標(biāo)簽庫(kù)使用OGNL 表達(dá)式來(lái)訪問(wèn)ActionContext 中的對(duì)象數(shù)據(jù)，為了能夠訪問(wèn)到ActionContext 中的變量，Struts2 將ActionContext 設(shè)置為OGNL 的上下文，并將OGNL 的根對(duì)象加入ActionContext 中。

 

用戶可以控制特定標(biāo)簽的屬性，通過(guò)OGNL 二次計(jì)算可以執(zhí)行任意命令。例如：

<p>parameters: <s:propertyvalue="#parameters.msg" /></p> 

 

這個(gè)標(biāo)簽就調(diào)用了OGNL 進(jìn)行取值，Struts2 會(huì)解析value 中的值，并當(dāng)作OGNL 表達(dá)式進(jìn)行執(zhí)行。

 

 OGNL第一次計(jì)算：

 OGNL表達(dá)式為#parameters.msg，計(jì)算后得到parameters的屬性，并將其屬性值賦值給value。

 

 OGNL第二次計(jì)算：

對(duì)上面獲取的屬性值繼續(xù)做OGNL表達(dá)式執(zhí)行。

 

 漏洞檢測(cè)

深信服提供了Apache Struts2 S2-029 遠(yuǎn)程代碼執(zhí)行漏洞的本地檢測(cè)方案：

1、新建文件test.jsp，文件內(nèi)容如下圖所示：

2、將上述test.jsp文件放入網(wǎng)站根目錄；

3、打開(kāi)瀏覽器訪問(wèn)文件test.jsp，例如：http://www.xxx.com/test.jsp；

4、查看網(wǎng)站服務(wù)器/tmp 目錄下是否有sangfor_test文件生成，若有此文件生成，則證明網(wǎng)站存在Apache Struts2 S2-029 遠(yuǎn)程代碼執(zhí)行漏洞。

 

該檢測(cè)方案已在深信服下一代防火墻主頁(yè)進(jìn)行實(shí)時(shí)提醒，如果您未購(gòu)買下一代防火墻設(shè)備，請(qǐng)?jiān)L問(wèn)深信服安全中心獲取檢測(cè)工具：

http://sec.sangfor.com.cn/vulns/287.html

 

修復(fù)建議

1、建議用戶嚴(yán)格驗(yàn)證新添加的 Struts 標(biāo)簽參數(shù)的屬性；

2、建議用戶將Struts升級(jí)至 2.3.26版本；

3、對(duì)于暫時(shí)無(wú)法進(jìn)行升級(jí)的低版本用戶，建議修改系統(tǒng)RestActionMapper.java 源文件，防止OGNL 表達(dá)式多次執(zhí)行，具體修改方法如下圖：

點(diǎn)擊以下鏈接，即可訪問(wèn)深信服安全中心獲取檢測(cè)工具：

http://sec.sangfor.com.cn/vulns/287.html

 

 

 

 

標(biāo)簽： 安全 代碼 防火墻 防火墻設(shè)備 服務(wù)器 漏洞 網(wǎng)站 網(wǎng)站服務(wù)器 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。