2018年11月7日,安全专题监测到Apache Struts发布了一个安全更新,以解决低版本的Commons FileUpload库带来的远程反序列化代码执行漏洞,安全建议用户立即更新Commons FileUpload依赖库到最新版本。
漏洞描述
近日,Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告,其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031,而2.3.x系列版本的Apache Struts2仍在使用低版本的Commons FileUpload库,该库作为Struts2的一部分,被用作文件上传的默认机制,远程攻击者利用该漏洞可直接获得服务器权限。2.5.12以上版本的Struts2暂不受影响。
影响范围
Apache Struts 2.3.36及之前的版本
风险评级
CVE-2016-1000031:严重
安全建议
方案一:
升级至2.5.18及以上版本的Struts2,官方下载链接:https://struts.apache.org/download.cgi
方案二:
升级Struts2依赖的Commons FileUpload库版本至最新1.3.3,官方下载地址:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
方案三:
针对Maven的项目可直接修改pom.xml配置文件如下并重构项目:
<dependency>
<groupId>commons-fileupload</groupId>
<artifactId>commons-fileupload</artifactId>
<version>1.3.3</version>
</dependency>
安全云盾态势感知应急漏洞模块已支持对该漏洞一键检测,详情登陆云中心
相关链接
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
安全专题
2018.11.7