Categories

Tags

Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


 Public @ 2019-03-12 15:44:42

Z-BLOG常用技巧汇总

这里发布一些收集来的Z-BLOG的一些常用技巧,供爱好者定制自己的BLOG。高效能的日志搜索用途:搜索是非常消耗系统资源的动作,而且对于多关键字搜索和模糊搜索,处理起来也非常麻烦,这里提供了一个非常高效而实用的搜索方法,就是使用Google的站内搜索技术,当你的日志被Google索引了大部分的时候,这种搜索方法的效果会特别出色。新站或Google网页级别低的不建议使用这种方法。方法:修改searc

 Public @ 2018-02-15 15:44:57

从SEO角度出发做网站策划

曾经做过很多网站、有的是删了改改了删,为什么会这样呢?其实是自己不明白,为何要这么做?又应该怎么做呢?到最近才明白中间的核心点,一个优化成功的网站需把握两个点,用户和蜘蛛(spiders),做好的内容给用户看,做好的网站结构给蜘蛛(spiders)爬。因此策划一个网站应该从以下两点来思考:1、什么是重要的内容:一般站在SEO的角度来说,重要的内容就是能用来做关键词排名带来流量并带来用户的内容了;从

 Public @ 2011-03-27 15:26:52

更多您感兴趣的搜索

0.758697s