弱點通告:Apache Struts 2 存在多個安全性弱點,建議請管理者儘速更新!
2017/09/07
風險等級: 高度威脅
摘  要:

Apache Struts 2 存在多個安全性弱點,可能允許遠端攻擊者利用該弱點來執行遠端程式碼與控制系統。

目前已知會受到影響的產品為Apache Struts 2.5版本至2.5.12的版本,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Apache Struts 2.5版本至2.5.12的版本
  • 解決辦法:
  • 請參考Apache Struts 官網更新至Apache Struts 2.5.13 之後版本
  • 如無使用REST套件需求,請刪除REST套件。確認方式於WEB-INF\lib目錄下是否有 struts2-rest-plugin-2.x.jar 檔案
  • 如需在受影響平台中持續使用REST 套件,可於REST 套件內的 struts-plugin.xml 設定檔中,依官方網頁(https://struts.apache.org/docs/s2-052.html )所提供之解決方案進行內容新增,可降低此弱點影響程度
  • 細節描述:

    Apache Struts 2中的REST 套件提供開發者可遵循REST 的理念與原則進行程式開發, 該弱點主要是在Apache Struts 2.5 至2.5.12 版本中,當使用REST套件之XStream 處理程序針對XML 請求進行反序列化時, 因未進行類型過濾,可能導致攻擊者可傳送惡意的XML封包,進而造成遠端執行任意程式碼與控制系統。

    HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    us-cert (2017/09/06)
    cert (2017/09/06)
    confluence (2017/09/06)
    apache (2017/09/06)
    技服中心 (2017/09/06)