当前位置: 首页 > 通知公告 > 正文

通知公告

Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全预警公告

信息来源: 发布日期: 2017-12-05 浏览次数:

   近日,国家信息安全漏洞共享平台(CNVD)收录了 Apache Struts2的两个中危漏洞,分别是:S2-054拒绝服务漏洞(CNVD-2017-35898,对应CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,对应CVE-2017-7525)。攻击者可利用上述漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

一、漏洞情况分析

   2017年12月1日,Apache Strusts 官方发布了Struts2的两个中危漏洞,漏洞信息如下:

   S2-054拒绝服务漏洞:Apache Struts REST插件使用了过时的JSON-lib库,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。

   S2-055反序列化漏洞:由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。

二、漏洞影响范围

   Struts 2.5 – Struts 2.5.14

三、防护建议

   S2-054修复建议:

   方法一:升级到Apache Struts版本2.5.14.1。

   方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

   S2-055修复建议:

   方法一:升级到Apache Struts版本2.5.14.1。

   方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,详情参考:
https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770

   图书与信息中心提醒校园网用户,及时排查安全隐患,升级系统版本,加强对外服务系统的安全管理。