您好,欢迎来到比特捷科技!专业的海外服务器提供商!
7×24小时销售热线:4006-630-633
深圳比特捷
深圳比特捷
关于我们
About us
新闻中心
News center
招纳贤士
Careers
联系我们
Contact us
您现在的位置:首页 > 新闻中心 > 公司新闻 > 关于清除J2EE框架Apache Struts2漏洞的紧急通知

关于清除J2EE框架Apache Struts2漏洞的紧急通知

   尊敬的客户您好:
   接深圳网监局紧急通知,近日网监分局在工作中掌握到目前主流应用开发平台J2EE的Apache Struts2框架存在可执行远程代码的严重漏洞,Struts2官方已经确认该漏洞(漏洞编号S2-045),并定级为高危漏洞。为全面清除相关漏洞隐患给互联网空间带来的网络安全风险,请贵司立即针对该漏洞开展技术检测及漏洞修补工作。
请贵司根据以下几点展开技术检测及漏洞修补整改工作:
   一、漏洞预警:
   近日Apache Struts2被爆存在远程代码执行漏洞,漏洞编号S2-046,CVE编号CVE-2017-5638,与S2-045属于相同漏洞,只是该漏洞的攻击向量不同。该漏洞目前Struts官网已经确认,并定性为等级为高。现在网络上已经出现的漏洞利用工具出现,请立即修复。以免造成不必要的影响和损失。如果S2-045升级后的Sturts2最新版本,则该漏洞不受影响。
   二、漏洞描述与危害:
   通过Jakarta 文件上传插件,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Disposition来触发该漏洞,进而执行系统命令,获取服务器权限。该漏洞易造成敏感数据泄露、网页篡改、系统被黑客入侵等严重危害。并且该插件属于Struts2核心默认自带插件.
   三、漏洞描述与危害:
   通过Jakarta 文件上传插件,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Disposition来触发该漏洞,进而执行系统命令,获取服务器权限。该漏洞易造成敏感数据泄露、网页篡改、系统被黑客入侵等严重危害。并且该插件属于Struts2核心默认自带插件.
   四、漏洞分析:
   该漏洞与S2-045漏洞相似,只是该漏洞的攻击向量不同。在HTTP的请求头“Content-Disposition”中加入null字节(‘\x00’),并在文件名中中构造可以恶意的OGNL内容,触发InvalidFileNameException异常导致代码被执行。(注:在官方的说明中需要修改HTTP头部中的Content-Length,但在白帽汇的安全工程师实际漏洞测试中,并没有修改Content-Length 为大于2GB的值,也测试成功。
   五、漏洞影响:
   目前受影响的Struts版本(目前针对S2-045进行升级后的程序,该漏洞不受影响):
   Struts2.3.5 - Struts 2.3.31
   Struts 2.5 - Struts 2.5.10
   六、修复建议:
   ①、请升级到最新的ApacheStruts2.3.32或2.5.10.1版本。
   http://struts.apache.org/download.cgi#struts2510
   ②、严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。
   关于J2EE框架Apache Struts2漏洞的网络安全风险极高,深圳网监局重点关注,为确保互联网数据中心网络安全稳定运行,保障网络维稳态势,请务必认真落实自检自查工作,具体工作要求如下:
   一是即日起对自家接入网站进行全面技术检测(自身有检测团队的可自行开展自查自测,不具备检测团队的可联系专业安全服务机构进行检测);
   二是针对检测中发现存在Struts2漏洞的网站,要求登记造册、如实上报,并立即进行漏洞修补工作(要求统计汇总累计扫描网站数量、修复Struts2漏洞的网站相关情况,统计表请见附件;如检测不存在漏洞,烦请回复邮件未检测到Struts2漏洞即可);
   三是4月14日15时前通过客服邮箱:Support@bytejet.com报送自查情况报告以及存在Struts2漏洞网站的整改情况;

   四是自4月14日起,如被上级部门通报存在Struts2漏洞,将会受到行政处罚,情节严重的也会将相关情况通报通管部门。

   此次清除J2EE框架Apache Struts2漏洞的工作紧急且重要,烦请贵司重视并配合,如有疑问请及时与我司联系,谢谢! 

   联系电话:400-663-0633