apache struts2 作為世界上最流行的 java web 伺服器架構之一,3 月 7 日帶來了本年度第一個高危漏洞——cve編号 cve-2017-5638 。其原因是由于 apache struts2 的 jakarta multipart parser 插件存在遠端代碼執行漏洞,攻擊者可以在使用該插件上傳檔案時,修改 http 請求頭中的 content-type 值來觸發該漏洞,導緻遠端執行代碼。
struts 作為一個“世界級”開源架構,它的一個高危漏洞危害有多大,下面兩張圖可以讓大家對這個漏洞的影響範圍有一個直覺認識。
【全球網際網路上開放的apache struts分布】
【中國網際網路上開放的apache struts分布】
雷鋒網從綠盟科技了解到,從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間裡,大量使用者第一時間通過綠盟雲的 structs2 緊急漏洞檢測服務對自己的網站進行檢測,共計 22000 餘次。
通過對這些資料進行分析,可以看到:
1、從檢測資料來看,教育行業受struts2漏洞影響最多,其次是政府、金融、網際網路、通信等行業。
綠盟科技威脅情報中心( nti ) 通過對檢測出漏洞的頁面逐一通路,去掉一些無法通路的頁面後,按照行業進行了分類,其中,教育行業數量最多占23%,其次是政府占19%,金融占17%,網際網路占10%,通信行業占3%以及其他行業領域占27%。
2、從地域來看,北、上、廣、沿海城市等經濟發達地區成為 struts2 漏洞高發區,與此同時修複情況也最及時。
從檢測頁面的地域分布上看,北京最積極占22%,其次是廣東9.8%,浙江8.2%,上海7.8%,福建4.9%。從最終的檢測結果來看,這也符合“多檢多得”的排序,北京檢出漏洞頁面數量最多占23.6%(符合首都政治教育中心的定位),廣東13.7%,浙江10.4%,上海7.9%,福建7.3%。
3、從應對漏洞積極性來說,金融、政府、教育位列前三甲。
雷鋒網了解到,應對本次 struts2 漏洞,金融行業應急反應最為迅速,在漏洞爆發後采取行動也是最迅速的,無論是自行更新漏洞軟體還是聯系廠商更新防護裝置都走在其他行業前列,很多金融行業站點在幾個小時之内再次掃描時已經将漏洞修補完成。
官方已經釋出版本更新,盡快更新到不受影響的版本(struts 2.3.32或struts 2.5.10.1),建議在更新前做好資料備份。
struts 2.3.32 下載下傳位址:https://cwiki.apache.org/confluence/display/ww/version+notes+2.3.32
struts 2.5.10.1下載下傳位址:
<a href="https://cwiki.apache.org/confluence/display/ww/version+notes+2.5.10.1" target="_blank">https://cwiki.apache.org/confluence/display/ww/version+notes+2.5.10.1</a>
2. 臨時修複方案
在使用者不便進行更新的情況下,作為臨時的解決方案,使用者可以進行以下操作來規避風險:
在web-inf/classes目錄下的struts.xml 中的struts 标簽下添加<constant name=”struts.custom.i18n.resources” value=”global” />;在web-inf/classes/ 目錄下添加 global.properties,檔案内容如下:
struts.messages.upload.error.invalidcontenttypeexception=1。
配置過濾器過濾content-type的内容,在web應用的web.xml中配置過濾器,在過濾器中對content-type内容的合法性進行檢測:
對于沒有網絡防護裝置的企業,可以使用專業廠商的防護裝置進行防護;或者使用專業安全廠商的針對性安全服務對已有業務進行漏洞排查和修複。正在使用安全防護裝置的企業,目前各大安全廠商都已經推出針對該漏洞的緊急更新包,請及時更新已有防護裝置的防護規則和檢測規則。