Apache Struts重现严重漏洞，你追加了吗？

铭 | 白开水

出品 | OSCLinux社区（ID：oschina2013)

Apache Software Foundation 发布新闻了一个安全性新闻稿 S2-062， 以应付 Struts 2.0.0 到 2.5.29 新版本里不存在的一个远程代码执行补丁；攻击者可以利用此补丁来控制深受影响的系统。对此，美国NSA性和交通设施安全性局 (CISA) 也发布新闻新闻稿督促组织核对Apache 的新闻稿，并尽快升级到最新的 Struts 2 补丁新版本。

该补丁被跟踪为 CVE-2021-31805，是由于 2020 年 CVE-2020-17530 (S2-061) 的不完备修缮造成的。也就是说，这一补丁早在 2020 年就已不存在且当时被认为已修缮，但事实证明问题未完全得到应付。

在 2020 年，GitHub 的研究者部门 Alvaro Munoz 和 Aeye 安全性实验室的 Masato Anzai 报告了Struts 2 新版本 2.0.0 - 2.5.25 在某些情况下不存在一个 OGNL 注入补丁，编号为 CVE-2020-17530，在 CVSS 严重性层面获得了 9.8 分（满分 10 分）。

“如果自由软件采用 %{...} 语法进行一律 OGNL 评量，首页的一些属性即使如此可以执行双重评量。对不信任的用户输入采用一律 OGNL 评量可能导致远程代码执行和安全性性能指标下降。”

取向图无线电语法 (Object-Graph Navigation Language,OGNL) 是一种Linux的 Java 常量语法，修改了 Java 语法里的常量区域内。它被集成在 Struts2 等基本概念里，作用是对数据进行访问；包括类型转换、访问取向方法、操作集合取向等功能。

尽管 Apache 在 Struts 2.5.26 里应付了 2020 年所报告的补丁，但研究者部门 Chris McCown 发现，所广泛应用的修缮方案并不完备。他向 Apache 报告称，“双重评量”问题即使如此可以在 Struts 新版本 2.5.26 及低新版本里再现。

作为应付举措，Apache 层面促请开发部门避免 基于不深受信任的用户输入在首页属性里采用一律 OGNL 评量，和/或升级到 Struts 2.5.30 或低新版本，以检查常量评量确实不会导致双重评量。并促请遵循安全性指南 以获得最佳实践。

有奖摘要

你有关于Netty、Java、CVS的系统性问题吗？

欢迎前来提问

还有系统设计书籍赠送哦

扫码立即参加摘要

觉得不错，请点个在看呀