今年4月份,apache struts 2之上發現的s2-033遠端代碼執行漏洞,以迅雷不及掩耳之勢席卷而來。其利用代碼很快就在短時間内迅速傳播。而且官方針對這個高危漏洞的修複方案還是無效的。
悲劇的事情今天又再度發生了,這次發現的struts 2新漏洞編号為cve-2016-4438,該漏洞由國内pkav團隊-香草率先發現。這是又一個很嚴重的遠端代碼執行漏洞:使用rest插件的使用者就會遭遇該問題。
有關該漏洞的詳情如下:
apache struts 2 s2-037 遠端代碼執行
漏洞編号:cve-2016-4438
漏洞危害:造成遠端代碼執行
漏洞等級:高危
影響版本:apache struts 2.3.20 - 2.3.28.1 版本使用了rest插件的使用者
修複方案:加入cleanupactionname進行過濾 或者 更新至官方struts2.3.29
freebuf百科:struts 2
apache struts 2是世界上最流行的java web伺服器架構之一,是struts的換代産品:在struts 1和webwork的技術基礎上,進行合并産生全新的struts 2架構。struts 2的體系結構與struts 1的體系結構差别巨大。struts 2以webwork為核心,采用攔截器的機制處理使用者的請求,這樣的設計也使得業務邏輯控制器能夠與servletapi完全脫離開,是以struts 2可以了解為webwork的更新産品。雖然從struts 1到struts 2有着太大的變化,但是相對于webwork,struts 2的變化很小。