網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:Struts 2 又出漏洞了!S2-048

2017-07-07 21:59 推薦: 瀏覽: 2,984 views 字號:

博彩彩票计划 www.nandk.icu 摘要: 今天下午下班后,游俠看到網上爆出了Struts 2的最新漏洞——S2-048。描述:Showcase插件ActionMessage類中,通過構建不可信的輸入實現遠程命令攻擊,存在安全風險。 然后……微博、微信朋友圈,就被刷屏了……我們來仔細看看,利用條件: 1...

今天下午下班后,游俠看到網上爆出了Struts 2的最新漏洞——S2-048。描述:Showcase插件ActionMessage類中,通過構建不可信的輸入實現遠程命令攻擊,存在安全風險。

然后……微博、微信朋友圈,就被刷屏了……我們來仔細看看,利用條件:

1、Struts版本:Struts 2.3.x

2、有Struts 1的Showcase

相信經過了前一段各種漏洞的“洗禮”,如S2-045等,Struts 2已經都升級到了較新的版本。本次還有個前置條件,就是有Struts 1的Showcase,如果沒有,就……呵呵

來一句“安全客”的原話:“非默認插件 struts2-struts1-plugin”,有多少人裝了?真不好說。

所以,這次Struts 2官方對此漏洞的定義是“High(高危)”而不是“Critical(嚴重/極重要)”。so……指望今晚上熬夜去各大SRC刷RANK是不太現實的,熬夜去拿站做“其它用途”也不那么樂觀。

當然,S2-048既然是RCE(遠程命令執行)漏洞,還是有點威懾力的!還是來個“安全客”的圖:

說一下安全公告中常見的兩個詞:High、Critical,前者是高危,后者是緊急/極重要。所以,從性質的嚴重程度而言,Critical要比High厲害。如果遇到Critical級別的漏洞,是必須立刻行動去修復的,而High的,要么影響面不是那么廣泛,要么就是利用條件比較苛刻(但還是能利用的!如上圖的“記事本”。)

附一個S2-045、S2-048的對比,中間標紅了:

解決?—— 對,雖然是High而不是Critical,但游俠建議您還是立刻升級,畢竟,被黑這件事情,往往是巧合湊到一起之后發生的……萬一你剛好不走運,被黑就是100%咯!

1、對于程序員

傳遞消息給ActionMessage時,用:

messages.add(“msg“, new ActionMessage(“struts1.gangsterAdded“, gform.getName()));

而不是

messages.add(“msg“, new ActionMessage(“Gangster ” + gform.getName() + ” was added“));

2、對于管理員

關閉Showcase;

升級Struts 2到最新版本(其實如果上次S2-045你升級到了2.5.x,這次就沒問題)。

好了,游俠叨叨完了,能升級的趕緊升下級,然后去睡覺吧。哦,對了,用下面這個圖壓壓驚(我真忘了誰發的了,朋友看到的)

作者:張百川(網路游俠)博彩彩票计划 www.nandk.icu ?轉載請注明來源!謝謝

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
内地人香港中彩票 陕西福彩快乐十分技巧 欢乐时时彩官方开奖 时时彩计划群微信号 河内时时彩全天计划 31选7走势图大星彩票走势图 澳洲幸运8正规吗 新时时彩什么时候开奖 双色球开奖2019073期 足球14场胜负彩直播 今天的35选7的号码 新彩吧 辽宁11选5中奖结果 时时彩看号的方法如下 北京快3诀窍 求一个qq群你们懂得2019