大医首页 | 本站首页 | 站点地图
今天是: 2017年9月24日 星期日 本站搜索
 
 
技术服务 共享资源 规章制度 部门概况
 
网络运维中心 | 一卡通技术中心 | 电化教育中心 | 研发中心 | 计算机实验室 | 计算机教研室 | 综合管理室
快速链接
  新闻速递
  通知公告
  常用下载
  技术小贴士
  支部生活
  快速返回

本站位置: 通知公告

浏览文章 【发布时间: 2017-9-6】  【点击数: 63】 【字号: 】 【我要打印

关于Apache Struts 2的安全漏洞排查通知

近日我校接到上级网络安全部门的通知,由于Apache Struts 2又发现存在一个高危的安全漏洞,请各个二级院系部门,特别是使用APACHE系统网站的信息员仔细检查本部门所属网站和信息系统是否存在此安全漏洞,并尽快暂定服务修补漏洞,以免造成不必要的损失。

2017年9月5日,Apache Struts发布最新安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,该漏洞由lgtm.com的安全研究员汇报,漏洞编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

相关链接如下:请点击

https://cwiki.apache.org/confluence/display/WW/S2-052

https://lgtm.com/blog/apache_struts_CVE-2017-9805

受影响版本:Apache Struts Version:Struts 2.5 - Struts 2.5.12

规避方案:

升级Struts到2.5.13最新版本

在不使用时删除StrutsREST插件,或仅限于服务器普通页面和JSONs
<constantname="struts.action.extension" value="xhtml,,json" />

部署启明星辰web应用防火墙http://www.venustech.com.cn/SafeProductInfo/413/39.Html 

 

 

编辑:刘飞 作者:郭大智

Copyright (C) Since 2006
Modern Educational Technology Center, DMU
Designed by Network Center. Total Visits: 1016138

地址:大连市旅顺南路西段9号
邮编:116044
Email:met@dmu.edu.cn