St2-053 Apache Struts2远程代码执行漏洞(中危)

综述
   2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。
相关链接如下:https://cwiki.apache.org/confluence/display/WW/S2-053
受影响版本:
· Struts 2.0.1 – Sturts 2.3.33
· Struts 2.5 – Struts 2.5.10
不受影响的版本
· Struts 2.3.34
· Struts 2.5.12
规避方案
用户应避免在Freemarker的结构代码中使用可写的属性,或者使用只读属性来初始化value属性(仅限getter属性)。
请受影响的用户立即升级到不受影响的版本来防护该漏洞。
参考链接:
Struts 2.5.12:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12
Struts 2.3.34:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.34
   官方表示,虽然新版本限制了Freemarker的配置属性,但是用户还是应该避免使用有问题的结构属性。
注:
由于2.5.12版本仍然受到近日的S2-052漏洞影响,建议用户直接升级到最新的2.5.13版本。
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13
分享到:更多

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)