篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2016-0017

4月26日，互聯(lián)網(wǎng)上披露了Apache Struts 2 S2-032遠程代碼執(zhí)行漏洞（CNVD-2016-02506，CVE-2016-3081 ）的利用代碼，根據(jù)CNVD初步測試，遠程攻擊者利用漏洞可在開啟動態(tài)方法調用功能的Apache Struts 2服務器上執(zhí)行任意代碼，取得網(wǎng)站服務器控制權。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級web應用框架，并成為當時國內外較為流行的容器軟件中間件。Struts 2的核心jar包-struts2-core中，存在一個default.properties的默認配置文件用于配置全局信息，當struts.enable.DynamicMethodInvocation= true，即開啟動態(tài)方法調用。盡管在Struts2目前的安全策略中，對部分動態(tài)調用方法進行了特殊字符傳遞的限制，但在該漏洞中攻擊者仍能通過通過OGNL表達式靜態(tài)調用獲取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS屬性并覆蓋_memberAccess的方式進行繞過，進而可在受控制的服務器端執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響Struts 2.3.20 -2.3.28 (除2.3.20.3和2.3.24.3以外)版本，同時攻擊利用代碼已經(jīng)在互聯(lián)網(wǎng)上快速傳播。目前，對于默認開啟動態(tài)方法調用功能的ApacheStruts2 服務器比例還需要進一步評估。根據(jù)國內民間漏洞報告平臺的信息報送情況，目前已經(jīng)出現(xiàn)涉及銀行、保險行業(yè)單位以及大型互聯(lián)網(wǎng)增值電信企業(yè)的信息系統(tǒng)受漏洞影響的案例報告。

三、漏洞修復建議

Apache Struts官方已發(fā)布了升級程序修復該漏洞，CNVD建議用戶升級至struts 2.3.20.3，2.3.24.3，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。未能及時升級的用戶也可通過如下參數(shù)設置關閉動態(tài)方法調用功能來規(guī)避該漏洞的攻擊威脅：<constantname=“struts.enable.DynamicMethodInvocation”value=“false”/> (注：由于動態(tài)方法調用涉及部分通配符功能，此操作暫不能完全確保用戶網(wǎng)站系統(tǒng)其他功能不受影響)。

附：參考鏈接：

http://struts.apache.org/docs/s2-032.html

http://seclab.dbappsecurity.com.cn/?p=924

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02506