漏洞预警最新Apache Struts远程代码执行漏洞

释放双眼,带上耳机,听听看~!

【漏洞预警】最新Apache Struts远程代码执行漏洞(CVE-2016-1000031)

2018年11月7日,监测到Apache Struts发布了一个安全更新,以解决低版本的Commons FileUpload库带来的远程反序列化代码执行漏洞,建议用户立即更新Commons FileUpload依赖库到最新版本。

漏洞描述

近日,Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告,其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031,而2.3.x系列版本的Apache Struts2仍在使用低版本的Commons FileUpload库,该库作为Struts2的一部分,被用作文件上传的默认机制,远程攻击者利用该漏洞可直接获得服务器权限。2.5.12以上版本的Struts2暂不受影响。

影响范围

Apache Struts 2.3.36及之前的版本

风险评级

CVE-2016-1000031:严重

安全建议

方案一:

升级至2.5.18及以上版本的Struts2,官方下载链接:https://struts.apache.org/download.cgi

方案二:

升级Struts2依赖的Commons FileUpload库版本至最新1.3.3,官方下载地址:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

方案三:

针对Maven的项目可直接修改pom.xml配置文件如下并重构项目:

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

相关链接

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Nginx安全问题致使服务器易遭受DoS攻击

2018-11-9 10:28:41

安全漏洞

Kubernetes首爆严重安全漏洞请升级Kubernetes

2018-12-4 13:40:15

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索