99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


【漏洞通告】Struts2拒絕服務(wù)漏洞通告(S2-054、S2-055)

2017-12-02 12:24:35 漏洞播報 0個評論

綜述

Struts2是一個基于MVC設(shè)計模式的Web應(yīng)用框架,它本質(zhì)上相當(dāng)于一個servlet,在MVC設(shè)計模式中,Struts2作為控制器(Controller)來建立模型與視圖的數(shù)據(jù)交互。

Struts2 的Jackson JSON庫中存在拒絕服務(wù)漏洞,在使用Struts REST插件時,攻擊者可以通過精心構(gòu)造的JSON請求造成DoS攻擊。如果Jackson JSON庫中設(shè)置enableDefaultTyping,可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

 

漏洞概述

漏洞類型: 拒絕服務(wù)漏洞

危險等級: 高危

利用條件: Struts2在受影響版本內(nèi),并使用REST插件

受影響版本: Struts 2.5 – Struts 2.5.14

 

漏洞編號

CVE-2017-15707? Struts2拒絕服務(wù)漏洞(S2-054)

CVE-2017-7525? ?Struts2 Jackson反序列化漏洞(S2-055)
漏洞描述

Struts2 的Jackson JSON庫中存在拒絕服務(wù)漏洞,在使用Struts REST插件時,攻擊者可以通過精心構(gòu)造的JSON請求造成DoS攻擊。如果Jackson JSON庫中設(shè)置enableDefaultTyping,可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

 

修復(fù)建議

安裝官方補(bǔ)丁升級到最新版本:Struts 2.5.14.1。

 

臨時修復(fù)方法

更新Jackson JSON庫com.fasterxml.jackson到 2.9.2版本。

 

參考鏈接

https://cwiki.apache.org/confluence/display/WW/S2-054

https://cwiki.apache.org/confluence/display/WW/S2-055

 

 

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com