Apache Struts重现严重漏洞,你追加了吗?
发布时间:2023-02-26
铭 | 白开水
出品 | OSCLinux社区(ID:oschina2013)
Apache Software Foundation 发布新闻了一个安全性新闻稿 S2-062, 以应付 Struts 2.0.0 到 2.5.29 新版本里不存在的一个远程代码执行补丁;攻击者可以利用此补丁来控制深受影响的系统。对此,美国NSA性和交通设施安全性局 (CISA) 也发布新闻新闻稿督促组织核对Apache 的新闻稿,并尽快升级到最新的 Struts 2 补丁新版本。
该补丁被跟踪为 CVE-2021-31805,是由于 2020 年 CVE-2020-17530 (S2-061) 的不完备修缮造成的。也就是说,这一补丁早在 2020 年就已不存在且当时被认为已修缮,但事实证明问题未完全得到应付。
在 2020 年,GitHub 的研究者部门 Alvaro Munoz 和 Aeye 安全性实验室的 Masato Anzai 报告了Struts 2 新版本 2.0.0 - 2.5.25 在某些情况下不存在一个 OGNL 注入补丁,编号为 CVE-2020-17530,在 CVSS 严重性层面获得了 9.8 分(满分 10 分)。
“如果自由软件采用 %{...} 语法进行一律 OGNL 评量,首页的一些属性即使如此可以执行双重评量。对不信任的用户输入采用一律 OGNL 评量可能导致远程代码执行和安全性性能指标下降。”
取向图无线电语法 (Object-Graph Navigation Language,OGNL) 是一种Linux的 Java 常量语法,修改了 Java 语法里的常量区域内。它被集成在 Struts2 等基本概念里,作用是对数据进行访问;包括类型转换、访问取向方法、操作集合取向等功能。
尽管 Apache 在 Struts 2.5.26 里应付了 2020 年所报告的补丁,但研究者部门 Chris McCown 发现,所广泛应用的修缮方案并不完备。他向 Apache 报告称,“双重评量”问题即使如此可以在 Struts 新版本 2.5.26 及低新版本里再现。
作为应付举措,Apache 层面促请开发部门避免 基于不深受信任的用户输入在首页属性里采用一律 OGNL 评量,和/或升级到 Struts 2.5.30 或低新版本,以检查常量评量确实不会导致双重评量。并促请遵循安全性指南 以获得最佳实践。
有奖摘要
你有关于Netty、Java、CVS的系统性问题吗?
欢迎前来提问
还有系统设计书籍赠送哦
扫码立即参加摘要
觉得不错,请点个在看呀
黑龙江男科医院哪个比较好小孩鼻炎吃阿莫西林颗粒效果怎么样
广州看男科去哪个医院
玻璃酸钠滴眼液治疗眼干
深圳妇科医院预约挂号
-
投资者提问:董秘您好,公开招标浏览,2022年度公司在drg/dip少有中...
资本问及:董秘您好,引起争议招标查询,2022年度公司在drgdip鲜有里面标,请问公司drgdip这块业务范围2022年度业务范围量有多少?对绩效影响大吗?董秘回答万达信息SZ
- 2024-02-10荣耀X50 GT前瞻,神机还是电子垃圾?网友:主要看价位
- 2024-02-1089岁老太被困电梯两小时求助铃无反应,物业:监控里没看到人
- 2024-02-10投资者提问:公司至今未有推出管理层股权激励和员工持股。鉴于公司当前借贷充...
- 2024-02-10配色神似华为Mate60?眷顾Magic6系列真机公布,一文汇总预热
- 2024-02-10哈尔滨市巴彦县、南岗区、香坊区一小地区调整风险等级
- 2024-02-10投资者提问:1.贵司2021年通报称2021年子公司上网电量1639.24...
- 2024-02-102024年手机行业展望:升级版卫星通信普及 折叠屏价格下潜 AI大模型
- 2024-02-10甘肃定西陇西县高中效用区清零
- 2024-02-10投资者问到:请问为何宏源恒利公司、申万智富公司各自的各种现货含权贸易业务简...
- 2024-02-10海尔电灯和小天鹅电灯哪个好?3个方面对比,差距很明显!