Apache官方今天晚上發(fā)布安全公告(官方編號(hào)S2-032/CVE編號(hào)CVE-2016-3081),Apache Struts2服務(wù)在開啟動(dòng)態(tài)方法調(diào)用(DMI)的情況下,可以被遠(yuǎn)程執(zhí)行任意命令,安全威脅程度高。
這一漏洞影響的軟件版本為2.3.20-2.3.28,不過2.3.20.2、2.3.24.2兩個(gè)版本除外,建議盡快升級(jí)到相應(yīng)的最新版本,并關(guān)閉DMI。
這是自2012年Struts2命令執(zhí)行漏洞大規(guī)模爆發(fā)之后,該服務(wù)時(shí)隔四年再次爆發(fā)大規(guī)模漏洞。
截止目前,烏云漏洞報(bào)告平臺(tái)已收到100多家網(wǎng)站的相關(guān)漏洞報(bào)告,其中銀行占了很大比例。
目前已有多個(gè)版本的漏洞利用POC在互聯(lián)網(wǎng)流傳,分為命令執(zhí)行版本與直接寫入Web后門的版本。
烏云平臺(tái)現(xiàn)在已經(jīng)被該漏洞刷屏,據(jù)說后臺(tái)還有100多個(gè)漏洞待審核,因此預(yù)計(jì)今天晚上會(huì)迎來該漏洞爆發(fā)的第一個(gè)小高峰,尤其是銀行業(yè)恐怕會(huì)被血洗。
結(jié)合歷史情況分析,該漏洞除了會(huì)影響銀行與互聯(lián)網(wǎng)企業(yè)(網(wǎng)易/多玩等)以外,還可能影響政府、證券、保險(xiǎn)等行業(yè),相關(guān)服務(wù)一定要提前做好安全應(yīng)急與防范措施!
如果你在影響范圍內(nèi),有兩種解決方法:
1、禁用動(dòng)態(tài)方法調(diào)用
修改Struts2的配置文件,將“struts.enable.DynamicMethodInvocation”的值設(shè)置為false,比如:
2、升級(jí)軟件版本
如果條件允許,可升級(jí)Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,這幾個(gè)版本都不存在此漏洞。
升級(jí)地址:https://struts.apache.org/download.cgi#struts23281
另附漏洞測(cè)試樣例(無風(fēng)險(xiǎn)):
http://d047ab33ccbe2dda8.jie.sangebaimao.com/struts2-showcase/filedownload/index.action?method:%2523_memberAccess%253D@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS%252C%2523test%253D%2523context.get%2528%2523parameters.res%255B0%255D%2529.getWriter%2528%2529%252C%2523test.println%2528%2523parameters.command%255B0%255D%2529%252C%2523test.flush%2528%2529%252C%2523test.close%26res%3Dcom.opensymphony.xwork2.dispatcher.HttpServletResponse%26command%3D%2523%2523%2523Struts2%20S2-032%20Vulnerable%2523%2523%2523