当前页:主页 > 亿林动态 > 亿林动态 >

亿林网络关于Struts 2系列漏洞专项治理的重要通知
 

        接黑龙江省通信管理局通知,为配合开展我省Struts 2系列漏洞专项治理工作,如您有在使用 Apache Struts2作为 Web服务器框架,请及时与您的客服经理联系。

        我公司为您提供如下说明及解决方案:

        Struts 2系列漏洞基本情况

        Apache Struts2作为世界上的Java Web服务器框架之一,3月7日带来了本年度个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。

 

 

        检测与修复方案
        如果您的设备已经检测出存在Struts2漏洞,根据您的具体情况有以下三种解决方式:

        1、 官方解决方案
        官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32或Struts 2.5.10.1),建议在升级前做好数据备份。
        Struts 2.3.32 下载地址:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
        Struts 2.5.10.1下载地址: https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

        2、临时修复方案
        在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险:
        在WEB-INF/classes目录下的struts.xml 中的struts 标签下添加
        <constant name="struts.custom.i18n.resources" value="global" />
        在WEB-INF/classes/ 目录下添加 global.properties,文件内容如下:
        struts.messages.upload.error.InvalidContentTypeException=1

        配置过滤器过滤Content-Type的内容,在web应用的web.xml中配置过滤器,在过滤器中对Content-Type内容的合法性进行检测:

        3、技术解决方案
        对于没有网络防护设备的企业,可以使用专业厂商的防护设备进行防护;或者使用专业安全厂商的针对性安全服务对已有业务进行漏洞排查和修复。正在使用安全防护设备的企业,目前各大安全厂商都已经推出针对该漏洞的紧急升级包,请及时升级已有防护设备的防护规则和检测规则。另外可以使用“亿林云防线”防护工具,既有能力针对黑客或其他组织未经允许网站授权的漏洞扫描问题,又能够解通过态势感知功能感知互联网安全态势提出符合实际情况的辅助建议和技术方案,在必要的情况下还可以对攻击网站的不法分子进行追踪溯源。

亿林旗下站点:亿林网络 | 财富通科技      证件资质:IDC| ICP| 执照
黑龙江通信行业协会理事单位 黑龙江互联网协会常务理事单位 黑ICP备07500657号-1
黑龙江亿林网络股份有限公司 地址:哈尔滨市南岗区和谐大道353-3号中交香颂A座23层 电话:0451-55518891 55518893