介绍
2是的下一代产品,是在 1和的技术基础上进行了合并的全新的 2框架。其全新的 2的体系结构与 1的体系结构差别巨大。 2以为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与完全脱离开,所以 2可以理解为的更新产品。虽然从 1到 2有着太大的变化,但是相对于, 2的变化很小。
漏洞简介
2016年4月26日 官方发布安全公告, 服务在开启动态方法调用的情况下可以远程执行任意命令,会被攻击者实现远程代码执行攻击,安全威胁程度高。该漏洞官方编号为S2-032,CVE编号为CVE-2016-3081,具体请见:S2-032 。
影响范围
据分析,受该漏洞影响的软件版本为: 2.3.20-2.3.28 之间版本(除了 2.3.20.2 与 2.3.24.2 版本)。
漏洞原理
前提条件:开启动态方法调用。
当调用对应的login方法的时候,通过!login.来执行动态的方法调用,调用时特殊字符都会被替换成空。但是可以通过:login的形式来绕过特殊字符的过滤限制。接收到的参数经过处理后存入到的属性中,后续会把中的属性取出来放入到.( +“()”, ().(), ),通过ognl表达式静态调用获取ognl.的S属性,并将获取的结果覆盖属性,这样就可以绕过的限制。
防护方案
1、禁用动态方法调用,修改的配置文件struts,将"..ion"的值设置为false,如:
2、版本升级:升级 版本至 2.3.20.2, 2.3.24.2 或者 2.3.28.1 来修复漏洞,新版本下载地址:#。
天融信公司建议
适用于天融信FW/IDP/UTM系统、WEB安全防护系统(WAF)。
1、启用WEB安全防护系统(WAF)攻击检测规则
天融信WEB安全防护系统(WAF)针对的漏洞防护规则已经有效的对该漏洞进行了检测与防护,因此无需添加新的攻击检测规则就可发现与阻断利用此漏洞发起的攻击行为。
建议客户开启攻击检测规则如下:
规则名: OGNL 命令执行漏洞规则ID:
规则名:(s2-029远程命令执行攻击)规则ID:
2、升级入侵防御攻击检测规则库
天融信FW/IDP/UTM系统(带攻击检测模块的安全设备)针对此漏洞于2016年4月26日更新了攻击检测规则库,已经部署了天融信FW/IDP/UTM系统的用户,可以联系天融信公司或者通过ftp:///升级攻击检测规则库至最新版本(ips-v2016.04.26),即可发现与阻断利用此漏洞发起的攻击行为。
天融信公司服务方案
S2-032远程代码执行漏洞是一个安全威胁程度高的大规模漏洞,当前已有多个版本的漏洞利用POC在互联网上流传,因此将会有大量的WEB系统面临远程代码执行的风险。基于此种情况,天融信安全云服务中心提供专项漏洞服务方案struts,可协助客户对WEB系统进行版本识别和漏洞检测验证,全力配合客户完成漏洞的发现与防护工作。
限时特惠:本站持续每日更新海量各大内部创业课程,一年会员仅需要98元,全站资源免费下载
<span style = "text-decoration:underline;color:#0000ff;">点击查看详情
站长微信:Jiucxh
