Apache Struts2（S2-045）漏洞反思總結(jié)

2017的3.8-3.9號(hào)，Apache Struts2出現(xiàn)漏洞，該漏洞影響范圍廣，危害級(jí)別高。輕則系統(tǒng)文件感染，嚴(yán)重則系統(tǒng)癱瘓。

國(guó)家信息安全漏洞庫(kù)（CNNVD）收到關(guān)于Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152）的情況報(bào)送。，國(guó)家信息安全漏洞庫(kù)（CNNVD）對(duì)此進(jìn)行了跟蹤分析，情況如下：

詳情可查看官網(wǎng)：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

360：http://bobao.#/interref/appdetail/43.html

1、漏洞簡(jiǎn)介

Apache Struts是美國(guó)阿帕奇（Apache）軟件基金會(huì)負(fù)責(zé)維護(hù)的一個(gè)開源項(xiàng)目，是一套用于創(chuàng)建企業(yè)級(jí)Java Web 應(yīng)用的開源MVC框架，主要提供兩個(gè)版本框架產(chǎn)品： Struts 1和Struts 2。  

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯(cuò)誤信息。導(dǎo)致遠(yuǎn)程***者可通過(guò)發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務(wù)器上執(zhí)行任意命令。    

2、漏洞危害

***者可通過(guò)發(fā)送惡意構(gòu)造的HTTP數(shù)據(jù)包利用該漏洞，在受影響服務(wù)器上執(zhí)行系統(tǒng)命令，進(jìn)一步可完全控制該服務(wù)器，造成拒絕服務(wù)、數(shù)據(jù)泄露、網(wǎng)站造篡改等影響。由于該漏洞利用無(wú)需任何前置條件（如開啟dmi ，debug等功能）以及啟用任何插件，因此漏洞危害較為嚴(yán)重。

3、修復(fù)措施

目前，Apache官方已針對(duì)該漏洞發(fā)布安全公告。請(qǐng)受影響用戶及時(shí)檢查是否受該漏洞影響。

3.1）自查方式

用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件，如果這個(gè)版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

3.2）升級(jí)修復(fù)

受影響用戶可升級(jí)版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。

http://struts.apache.org/download.cgi#struts25101

3.3）臨時(shí)緩解

如用戶不方便升級(jí)，可采取如下臨時(shí)解決方案：

刪除commons-fileupload-x.x.x.jar文件（會(huì)造成上傳功能不可用）。切記此方法不要貿(mào)然執(zhí)行，否則會(huì)出現(xiàn)網(wǎng)站不可訪問(wèn)現(xiàn)象，應(yīng)當(dāng)詢問(wèn)相應(yīng)開發(fā)人員，核實(shí)再刪除。

4、漏洞后的反思：

4.1）安全隔離，漏洞排查，保障業(yè)務(wù)運(yùn)行。

4.2）有WEB集群支持，防止業(yè)務(wù)不能正常運(yùn)行。

4.3）云服務(wù)器做WEB更好，畢竟專業(yè)的檢查機(jī)制比較好。

4.4）可靠的備份機(jī)制，確保數(shù)據(jù)的完整性。

4.5）后門***檢測(cè)（檢測(cè)系統(tǒng)命令是否被篡改），漏洞掃描，系統(tǒng)安全防護(hù)。

4.6）日志系統(tǒng)的支持（合理判斷是系統(tǒng)由于何總方式***），以及行為審計(jì)。

4.7）漏洞過(guò)后的安全防護(hù)

...