81,094
社区成员
发帖
与我相关
我的任务
分享【安全】Struts 2 安全漏洞提醒
Struts 2 在 2.2.1.1 版本之前曾报出远程命令执行漏洞,如今在 Struts 2 的 2.3.1 及之前版本再报远程命令执行及服务器任意覆盖文件的漏洞。
这次报出的漏洞属于多重高危漏洞,危害性比较严重。该漏洞影响 Struts 2 中几乎所有版本(2.1.0~2.3.1)。
安全建议:
1:该漏洞已于 Struts 2 最新版本(2.3.1.1)中解决,请升级至最近的版本
2:禁止在生产环境中将 struts.devMode 设为 true
3:如果不是特别需要的话,将 struts.enable.DynamicMethodInvocation 值设为 false(默认为 true)
详情参考:
[1] 漏洞原文:https://www.sec-consult.sg/comfiles/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txt
[2] Struts 2 第 008 号安全文档:http://struts.apache.org/2.x/docs/s2-008.html
[3] Struts 2.2.1.1 之前的动态方法调用漏洞:Struts 2 Security Vulnerability - Dynamic Method Invocation
这次报出的漏洞属于多重高危漏洞,危害性比较严重。该漏洞影响 Struts 2 中几乎所有版本(2.1.0~2.3.1)。
安全建议:
1:该漏洞已于 Struts 2 最新版本(2.3.1.1)中解决,请升级至最近的版本
2:禁止在生产环境中将 struts.devMode 设为 true
3:如果不是特别需要的话,将 struts.enable.DynamicMethodInvocation 值设为 false(默认为 true)
详情参考:
[1] 漏洞原文:https://www.sec-consult.sg/comfiles/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txt
[2] Struts 2 第 008 号安全文档:http://struts.apache.org/2.x/docs/s2-008.html
[3] Struts 2.2.1.1 之前的动态方法调用漏洞:Struts 2 Security Vulnerability - Dynamic Method Invocation
...全文
请发表友善的回复…
发表回复
TalosMinos 2012-01-19
- 打赏
- 举报
tomcat时不时报错,应该也是这个原因吧
lingxiasandu 2012-01-19
- 打赏
- 举报
[Quote=引用楼主 bao110908 的回复:]
Struts 2 在 2.2.1.1 版本之前曾报出远程命令执行漏洞,如今在 Struts 2 的 2.3.1 及之前版本再报远程命令执行及服务器任意覆盖文件的漏洞。
安全建议:
1:该漏洞已于 Struts 2 最新版本(2.3.1.1)中解决,请升级至最近的版本
2:禁止在生产环境中将 struts.devMode 设为 true
3:如果不是特别需要的话,将 struts.enable.DynamicMethodInvocation 值设为 false(默认为 true)
[/Quote]
已照办.. TKS
Struts 2 在 2.2.1.1 版本之前曾报出远程命令执行漏洞,如今在 Struts 2 的 2.3.1 及之前版本再报远程命令执行及服务器任意覆盖文件的漏洞。
安全建议:
1:该漏洞已于 Struts 2 最新版本(2.3.1.1)中解决,请升级至最近的版本
2:禁止在生产环境中将 struts.devMode 设为 true
3:如果不是特别需要的话,将 struts.enable.DynamicMethodInvocation 值设为 false(默认为 true)
[/Quote]
已照办.. TKS
izard999 2012-01-19
- 打赏
- 举报
额。这样的文章要多顶起来。
struts2官方很早就在docs里面有说明, 不建议使用DMI的。
struts2官方很早就在docs里面有说明, 不建议使用DMI的。
beowulf2005 2012-01-18
- 打赏
- 举报
没细看,
大致是转化Query参数时用了OGNL,导致用户有机会通过OGNL来调server端的方法。
大致是转化Query参数时用了OGNL,导致用户有机会通过OGNL来调server端的方法。
宁波朱超 2012-01-18
- 打赏
- 举报
为了部落!
快乐的2 2012-01-18
- 打赏
- 举报
赞一个。
看来准备升级Struts2的计划暂时搁浅了。
看来准备升级Struts2的计划暂时搁浅了。
24K純帥 2012-01-16
- 打赏
- 举报
好贴呀~
火龙果被占用了 2012-01-16
- 打赏
- 举报
哎,看来 Java Web 开发人员对于安全方面的认识还是不足啊!
火龙果被占用了 2012-01-14
- 打赏
- 举报
[Quote=引用 3 楼 runffer_yang 的回复:]
具体怎么攻击的?
[/Quote]
参考的文章中有说明,因为涉及到安全问题,在这里就不逐一说明了。
具体怎么攻击的?
[/Quote]
参考的文章中有说明,因为涉及到安全问题,在这里就不逐一说明了。
买房动力十足 2012-01-14
- 打赏
- 举报
用的是Struts2.2.3,啥时候不再更新了啊
都到 2.3.1.1了啊?
都到 2.3.1.1了啊?
Steve 2012-01-14
- 打赏
- 举报
具体怎么攻击的?
wsyangzuda 2012-01-14
- 打赏
- 举报
这样的贴要多顶
