99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Apache Struts2 （S2-045）遠程代碼執(zhí)行漏洞（CNNVD-201703-152）的情況報送。由于該漏洞影響范圍廣，危害級別高，國家信息安全漏洞庫（CNNVD）對此進行了跟蹤分析，情況如下：

一、 漏洞簡介

Apache Struts是美國阿帕奇（Apache）軟件基金會負責(zé)維護的一個開源項目，是一套用于創(chuàng)建企業(yè)級Java Web 應(yīng)用的開源MVC框架，主要提供兩個版本框架產(chǎn)品： Struts 1和Struts 2。

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠程代碼執(zhí)行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯誤信息。導(dǎo)致遠程攻擊者可通過發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務(wù)器上執(zhí)行任意命令。

二、 漏洞危害

攻擊者可通過發(fā)送惡意構(gòu)造的HTTP數(shù)據(jù)包利用該漏洞，在受影響服務(wù)器上執(zhí)行系統(tǒng)命令，進一步可完全控制該服務(wù)器，造成拒絕服務(wù)、數(shù)據(jù)泄露、網(wǎng)站造篡改等影響。由于該漏洞利用無需任何前置條件（如開啟dmi ，debug等功能）以及啟用任何插件，因此漏洞危害較為嚴重。

三、 修復(fù)措施

目前，Apache官方已針對該漏洞發(fā)布安全公告。請受影響用戶及時檢查是否受該漏洞影響。

自查方式

用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件，如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

升級修復(fù)

受影響用戶可升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。

臨時緩解

如用戶不方便升級，可采取如下臨時解決方案：

l? 刪除commons-fileupload-x.x.x.jar文件（會造成上傳功能不可用）。

原文地址：http://www.freebuf.com/vuls/128736.html