• 本文作者: 阿尔法, 实验室
  • |
  • 2017年12月1日
  • |
  • 未分类
  • |

Struts2 (S2-054、S2-055)漏洞预警


一、漏洞概要

1.1 漏洞编号

CVE-2017-15707 (S2-054)

CVE-2017-7525  (S2-055)

1.2 漏洞描述

Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。官方公告在Struts2的Struts REST插件中存在两个漏洞。其中一个因为使用了低版本的JSON-lib库,低版本的JSON-lib库存在拒绝服务漏洞,攻击者可以构造JSON请求,实施DoS攻击。另一个因为使用了存在反序列化漏洞的Jackson JSON库,目前漏洞的详情和危害不明。


二、修复建议

2.1 漏洞影响

Struts 2.5 – Struts 2.5.14

2.2 漏洞检测

检查Struts2框架的版本号。

检查是否使用了存在漏洞的JSON-lib。(S2-054)

检查是否使用了存在漏洞的Jackson JSON库。(S2-055)

2.3解决方案

升级Struts2 到2.5.14.1。(通用)

使用最新版本Jackson handler替换默认的 JSON-lib handler。(S2-054)

更新Jackson JSON到最新版本。(S2-055)

Written by 阿尔法, 实验室