此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告
索引:  K08260953/2017-03037 发布机构:  吉林省通信管理局办公室
生成日期:  2017-12-18 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  关于Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告
关于Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告
发布时间:2017-12-18 0:00:00  

  安全公告编号:CNTA-2017-0081
  近日,国家信息安全漏洞共享平台(CNVD)收录了 Apache Struts2的两个中危漏洞,分别是:S2-054拒绝服务漏洞(CNVD-2017-35898,对CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,对应CVE-2017-7525)。攻击者可利用上述漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。
  一、漏洞情况分析
  2017年12月1日,Apache Strusts 官方发布了Struts2的两个中危漏洞,漏洞信息如下:
  S2-054拒绝服务漏洞:ApacheStruts REST插件使用了过时的JSON-lib库,击者可以通过构造特制的JSON恶意请求造成DOS攻击。
  S2-055反序列化漏洞:由于ApacheStruts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。
  CNVD对上述漏洞的综合评级为“中危”。其中FasterXML Jackson-databind存在远程代码执行漏洞在2017年8月1日,已被CNVD库收录(CNVD-2017-27693)。
  二、漏洞影响范围
  Struts 2.5 – Struts 2.5.14
  三、防护建议
  S2-054修复建议:
  方法一:升级到Apache Struts版本2.5.14.1。
  方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:
  
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
  S2-055修复建议:
  方法一:升级到Apache Struts版本2.5.14.1。
  方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,详情参考:
  
https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770
  附:参考链接:
  
https://cwiki.apache.org/confluence/display/WW/S2-054
  
https://cwiki.apache.org/confluence/display/WW/S2-055
  
http://www.securityfocus.com/bid/99623
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898