• 设为首页
  • 加入收藏

安全通报

安全风险预警

安全防护通报

首页 > 安全通报 > 安全风险预警 > 正文

安全风险预警

网络安全预警通报 第一期(2017.09.06)

来源:        发布时间:2017-09-06        点击量:


 

网络安全预警通报

 2017年第1期   (总第1期

西安交通大学网络信息中心            2017年9月6日

 


【预警类型】漏洞预警

预警内容

St2-052 远程代码命令执行漏洞预警(CVE-2017-9805)

描述:当使用带有XStream处理程序的Struts REST插件来反序列化XML请求时,可能会发生RCE攻击。  

CVE编号:CVE-2017-9805

受影响的版本:Struts 2.5 - Struts 2.5.12

解决方法:升级到Apache Struts版本2.5.13,最好的选择是在不使用时删除Struts REST插件,或仅限于服务器普通页面和JSONs:

<constant name="struts.action.extension" value="xhtml,,json" />

由于应用的可用类的默认限制,某些REST操作可能会停止工作。在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:

org.apache.struts2.rest.handler.AllowedClasses

org.apache.struts2.rest.handler.AllowedClassNames

org.apache.struts2.rest.handler.XStreamPermissionProvider

更加详细参见:

https://cwiki.apache.org/confluence/display/WW/S2-052

关闭

友情链接

公安部 工信部 教育部 中央网信办 国家互联网应急中心 陕西省网信办 教育行业漏洞报告平台 交大主页 网络信息中心

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049