亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Apache Struts2(S2-045)漏洞反思總結

發布時間:2020-07-24 14:44:05 來源:網絡 閱讀:3291 作者:任志遠Ray 欄目:安全技術

2017的3.8-3.9號,Apache Struts2出現漏洞,該漏洞影響范圍廣,危害級別高。輕則系統文件感染,嚴重則系統癱瘓。

國家信息安全漏洞庫(CNNVD)收到關于Apache Struts2 (S2-045)遠程代碼執行漏洞(CNNVD-201703-152)的情況報送。,國家信息安全漏洞庫(CNNVD)對此進行了跟蹤分析,情況如下:

詳情可查看官網:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

360:http://bobao.#/interref/appdetail/43.html

1、漏洞簡介

Apache Struts是美國阿帕奇(Apache)軟件基金會負責維護的一個開源項目,是一套用于創建企業級Java Web 應用的開源MVC框架,主要提供兩個版本框架產品: Struts 1和Struts 2。  

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠程代碼執行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。該漏洞是由于上傳功能的異常處理函數沒有正確處理用戶輸入的錯誤信息。導致遠程***者可通過發送惡意的數據包,利用該漏洞在受影響服務器上執行任意命令。    

2、漏洞危害

***者可通過發送惡意構造的HTTP數據包利用該漏洞,在受影響服務器上執行系統命令,進一步可完全控制該服務器,造成拒絕服務、數據泄露、網站造篡改等影響。由于該漏洞利用無需任何前置條件(如開啟dmi ,debug等功能)以及啟用任何插件,因此漏洞危害較為嚴重。

3、修復措施

目前,Apache官方已針對該漏洞發布安全公告。請受影響用戶及時檢查是否受該漏洞影響。

3.1)自查方式

用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件,如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

3.2)升級修復

受影響用戶可升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。

http://struts.apache.org/download.cgi#struts25101

3.3)臨時緩解

如用戶不方便升級,可采取如下臨時解決方案:

刪除commons-fileupload-x.x.x.jar文件(會造成上傳功能不可用)。切記此方法不要貿然執行,否則會出現網站不可訪問現象,應當詢問相應開發人員,核實再刪除。

4、漏洞后的反思:

4.1)安全隔離,漏洞排查,保障業務運行。

4.2)有WEB集群支持,防止業務不能正常運行。

4.3)云服務器做WEB更好,畢竟專業的檢查機制比較好。

4.4)可靠的備份機制,確保數據的完整性。

4.5)后門***檢測(檢測系統命令是否被篡改),漏洞掃描,系統安全防護。

4.6)日志系統的支持(合理判斷是系統由于何總方式***),以及行為審計。

4.7)漏洞過后的安全防護

...


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

沽源县| 潜山县| 乌拉特前旗| 武宣县| 长治县| 通化市| 讷河市| 南平市| 利川市| 上杭县| 漳州市| 长沙市| 华容县| 漯河市| 蛟河市| 尼玛县| 三门峡市| 石棉县| 昌邑市| 红原县| 克什克腾旗| 远安县| 图片| 洞口县| 安国市| 老河口市| 城固县| 卓资县| 连城县| 乐山市| 玉龙| 珲春市| 英山县| 西华县| 寻乌县| 山丹县| 灵武市| 永康市| 兰溪市| 辽中县| 托里县|