云社区 博客 博客详情
云社区 博客 博客详情

【漏洞预警】Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)安全预警

吾乃攻城猫喵大人 发表于 2018-08-23 19:47:30 08-23 19:47
吾乃攻城猫喵大人 发表于 2018-08-23 19:47:30 2018/08/23
0
0

【摘要】 Apache官方公布Struts 2 RCE(远程代码执行)漏洞,使用华为云漏洞扫描服务可一键检测排查该漏洞是否存在于您的资产中。

概要


今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置valueaction值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。


漏洞信息


影响范围所有Struts2开发者及用户
漏洞级别
【严重】(说明:漏洞级别共四级:一般、重要、严重、紧急。)
影响版本

Struts 2.3 - Struts 2.3.34Struts 2.5 - Struts 2.5.16确认受影响;

其余版本可能也受影响。

CVE编号CVE-2018-11776
官方链接https://cwiki.apache.org/confluence/display/WW/S2-057


解决方案


官方解决方案:升级至版本2.3.352.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。

注意:修复漏洞前请将资料备份,并进行充分测试。


如何快速检测自己的资产是否安全?


目前,华为云漏洞扫描服务可针对该漏洞进行一键检测仅需几分钟即可知道自己的资产是否存在该漏洞。


华为云漏洞扫描服务现可免费体验



登录后可下载附件,请登录或者注册

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:huaweicloud.bbs@huawei.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
评论文章 //点赞 收藏 0
点赞
分享文章到微博
分享文章到朋友圈

评论 (0)


0/1000
评论

登录后可评论,请 登录注册

评论

您还没有写博客的权限!

温馨提示

您确认删除评论吗?

确定
取消
温馨提示

您确认删除评论吗?

删除操作无法恢复,请谨慎操作。

确定
取消
温馨提示

您确认删除博客吗?

确定
取消

确认删除

您确认删除博客吗?

确认删除

您确认删除评论吗?

温馨提示

登录超时或用户已下线,请重新登录!!!

确定
取消