May
16
Apache Struts S2-033远程代码执行漏洞预警(CVE-2016-3087)
文 / UCloud 公关部
2023-12-29
尊敬的UCloud用户您好:
近日struts2官方发布了一个远程代码执行漏洞(CVE-2016-3087),该漏洞主要影响Struts 2.3.20 - Struts 2.3.28 (除2.3.20.3、2.3.24.3、2.3.28.1外)版本,攻击者可利用该漏洞获取Struts程序的权限远程执行任意命令。
受影响版本:
Struts 2.3.20 - Struts 2.3.28 (2.3.20.3、2.3.24.3、2.3.28.1除外)
漏洞描述:
使用到REST插件的Struts2应用,在开启动态方法调用(DMI)的情况下,会被攻击者实现远程代码执行攻击。
https://cwiki.apache.org/confluence/display/WW/S2-033
漏洞验证:
确认是否使用到REST插件,如使用到该插件,同时检查Struts2的配置文件struts.xml,若“struts.enable.DynamicMethodInvocation” 为“true",且版本在受影响版本范围内,则说明受影响,否则不受影响
修复方案:
如果您使用了Struts2并在受影响版本内,我们建议您尽快按照如下方案进行修复:
1、禁用动态方法调用(DMI),修改Struts2的配置文件struts.xml,将struts.enable.DynamicMethodInvocation设置为“false”;
2、目前官方已经推出了2.3.20.3、2.3.24.3和2.3.28.1修复这个问题,大家可以针对自己所使用的版本进行升级。下载地址:https://struts.apache.org/download.cgi#struts23281
2016年05月16日
UCloud云计算团队
