Struts 是一個開源的 Java Web MVC 架構,也是 Apache 軟體基金會的一個開源項目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,現在市面上說的 Struts 主要是指 Struts 2。
很不幸,現在 Struts 2 也是被淘汰的架構了,但也有很多老項目也還是在用 Struts 2 的,所有還在用的小夥伴們需要關注一下。
具體就不多說了,可以看棧長之前分享的:Struts2 為什麼被淘汰?
漏洞說明
攻擊者可以利用檔案上傳漏洞,覆寫通路權限,以造成伺服器拒絕服務。檔案上傳又有漏洞,這個真是牛皮癬啊,一直好不了。 影響範圍:所有使用 Struts 2 的使用者
危害等級:中
危害程度:拒絕服務
受影響版本:2.0.0 ~ 2.5.20
廠商:Apache
釋出時間:2020-08-11
報告者:Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
CVE編号:CVE-2019-0233
漏洞修複
目前 Apache 已經在官網釋出了漏洞修複方案,使用者可以更新到 Struts 2.5.22+ 以修複漏洞。
如果更新版本太麻煩,實際情況不允許,也可以在 struts-default.xml 配置檔案中 struts.excludedPackageNames 标簽添加 java.io. 和 java.nio. 以排除這兩個包名。
漏洞詳情及修複連結:
https://cwiki.apache.org/confluence/display/ww/s2-060盡快更新保平安吧!
也歡迎大家轉發給還在用 Struts 2 的小夥伴們!
推薦去我的部落格閱讀更多:
1.Java JVM、集合、多線程、新特性系列教程
2.Spring MVC、Spring Boot、Spring Cloud 系列教程
3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程
4.Java、後端、架構、阿裡巴巴等大廠最新面試題
覺得不錯,别忘了點贊+轉發哦!