大医首页 | 本站首页 | 站点地图
今天是: 2017年9月25日 星期一 本站搜索
 
 
技术服务 共享资源 规章制度 部门概况
 
网络运维中心 | 一卡通技术中心 | 电化教育中心 | 研发中心 | 计算机实验室 | 计算机教研室 | 综合管理室
快速链接
  新闻速递
  通知公告
  常用下载
  技术小贴士
  支部生活
  快速返回

本站位置: 通知公告

浏览文章 【发布时间: 2017-3-23 13:46:30】  【点击数: 144】 【字号: 】 【我要打印

关于近期Apache Struts 2的安全漏洞排查通知
近日我校接到上级网络安全部门的通知,由于Apache Struts 2存在一个高危的安全漏洞,请各个二级院系部门检查本部门所属网站和信息系统是否存在此安全漏洞,并尽快暂定服务修补漏洞,以免造成不必要的损失。

Struts2 是第二代基于Model-View-Controller (MVC)模型的web应用框架。 Struts2是java企业级web应用的可扩展性的框架。它是WebWork和Struts社区合并后的产物。 Struts2在使用基于Jakarta插件的文件上传功能时可能存在远程命令执行,攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令导致系统被入侵。 

影响版本:Struts 2.3.5-Struts 2.3.31、Struts 2.5-Struts 2.5.10 
安全版本:Struts 2.3.32、Struts 2.5.10.1

解决办法:

1、如您正在使用Jakarta文件上传插件或者是存在漏洞的Struts 2版本请升级至Struts2安全版本
2、使用Servlet过滤器验证Content-Type丢弃不匹配的请求multipart/form-data


参考:
http://struts.apache.org/downloads.html
https://struts.apache.org/docs/security-bulletins.html

编辑:刘飞 作者:郭大智

Copyright (C) Since 2006
Modern Educational Technology Center, DMU
Designed by Network Center. Total Visits: 1016543

地址:大连市旅顺南路西段9号
邮编:116044
Email:met@dmu.edu.cn