• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群7652650
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

漏洞预警最新Apache Struts远程代码执行漏洞

安全情报 aqzt 2周前 (11-09) 80次浏览

【漏洞预警】最新 Apache Struts 远程代码执行漏洞(CVE-2016-1000031)

2018 年 11 月 7 日,监测到 Apache Struts 发布了一个安全更新,以解决低版本的 Commons FileUpload 库带来的远程反序列化代码执行漏洞,建议用户立即更新 Commons FileUpload 依赖库到最新版本。

漏洞描述

近日,Apache 软件基金会(ASF)向 Apache Struts 项目管理员发布了关于 CVE-2016-1000031 漏洞的安全公告,其中披露一个 Commons FileUpload 库的历史高危漏洞 CVE-2016-1000031,而 2.3.x 系列版本的 Apache Struts2 仍在使用低版本的 Commons FileUpload 库,该库作为 Struts2 的一部分,被用作文件上传的默认机制,远程攻击者利用该漏洞可直接获得服务器权限。2.5.12 以上版本的 Struts2 暂不受影响。

影响范围

Apache Struts 2.3.36 及之前的版本

风险评级

CVE-2016-1000031:严重

安全建议

方案一:

升级至 2.5.18 及以上版本的 Struts2,官方下载链接:https://struts.apache.org/download.cgi

方案二:

升级 Struts2 依赖的 Commons FileUpload 库版本至最新 1.3.3,官方下载地址:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

方案三:

针对 Maven 的项目可直接修改 pom.xml 配置文件如下并重构项目:

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

相关链接

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:漏洞预警最新 Apache Struts 远程代码执行漏洞
喜欢 (0)