一、漏洞概要
1.1 漏洞编号
CVE-2017-15707 (S2-054)
CVE-2017-7525 (S2-055)
1.2 漏洞描述
Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。官方公告在Struts2的Struts REST插件中存在两个漏洞。其中一个因为使用了低版本的JSON-lib库,低版本的JSON-lib库存在拒绝服务漏洞,攻击者可以构造JSON请求,实施DoS攻击。另一个因为使用了存在反序列化漏洞的Jackson JSON库,目前漏洞的详情和危害不明。
二、修复建议
2.1 漏洞影响
Struts 2.5 – Struts 2.5.14
2.2 漏洞检测
检查Struts2框架的版本号。
检查是否使用了存在漏洞的JSON-lib。(S2-054)
检查是否使用了存在漏洞的Jackson JSON库。(S2-055)
2.3解决方案
升级Struts2 到2.5.14.1。(通用)
使用最新版本Jackson handler替换默认的 JSON-lib handler。(S2-054)
更新Jackson JSON到最新版本。(S2-055)