首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2012-06)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Apache Struts2框架命令執行漏洞被大規模利用

發布日期:2012-06-29

CVE ID:CVE-2010-1870

受影響的軟件及系統:
====================
OpenSymphony XWork < 2.2.0
Apache Group Struts < 2.2.0

未受影響的軟件及系統:
======================
OpenSymphony XWork >= 2.2.0
Apache Group Struts >= 2.2.0

綜述:
======
Struts 框架是 Apache 基金會 Jakarta  項目組的一個 Open Source 項目,
它采用MVC 模式,幫助 java  開發者利用 J2EE 開發 Web 應用。Struts
框架廣泛應用于運營商、政府、金融行業的門戶網站建設,作為網站開發的
底層模板使用,目前大量開發者利用 j2ee 開發 web 應用的時候都會利用這
個框架。

Apache Struts2 框架在 2010 年被發現存在一個嚴重命令執行漏洞
(CVE-2010-1870)。近期,一系列針對此漏洞的自動化檢測、利用工具在網
絡上公開,大大降低了利用難度。目前大量使用Struts2 框架編寫的網站被
發現受此漏洞影響,并已在互聯網上公開,這可能造成這些網站被控制、敏感
數據被泄漏。

由于國內仍然有大量的運營商、政府、金融機構的網站還在使用低版本的
Struts2 框架,因而面臨巨大的安全風險,強烈建議正在使用Struts2框架的
網站管理員檢查是否受此漏洞影響并及時修補。

分析:
======
XWork是一個命令模式框架,用于支持Struts 2及其他應用。

XWork處理用戶請求參數數據時存在漏洞,遠程攻擊者可以利用此漏洞在系統
上執行任意命令。

Apache Struts2中WebWork框架使用XWork基于HTTP參數名執行操作和調用,將
每個HTTP參數名處理為OGNL(對象圖形導航語言)語句。為了防范攻擊者通過
HTTP參數調用任意方式,XWork使用了以下兩個變量保護方式的執行:  

* OgnlContext的屬性xwork.MethodAccessor.denyMethodExecution(默認設置為true)  
* SecurityMemberAccess私有字段allowStaticMethodAccess(默認設置為false)

為了防范篡改服務器端對象,XWork的ParametersInterceptor不允許參數名中出
現“#”字符,但如果使用了Java的unicode字符串表示\u0023,攻擊者就可以繞
過保護,修改保護Java方式執行的值。進一步可調用java語句來執行任意命令,
甚至控制操作系統。

廠商狀態:
==========
廠商已經在Struts 2.2.0版本中修復了這個安全問題。由于struts 2.2.0仍然存
在其他安全問題,建議用戶請盡快升級到當前最新版本2.3.4。

廠商主頁:
http://struts.apache.org/

Apache提供的補丁鏈接:
http://svn.apache.org/viewvc?view=revision&revision=956389

附加信息:
==========
1. http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html
2. http://svn.apache.org/viewvc?view=revision&revision=956389
3. http://struts.apache.org/
4. http://www.uaeogq.live/index.php?act=alert&do=view&aid=126

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 上海11选5走势 买彩票的乐趣阅读全部答案 梦幻西游新区59大唐如何赚钱 甘肃快3预测 捕鱼大亨100元四十万分 娱网棋牌app下载大连 转发能赚钱么 地下城游戏币怎么赚钱 熊猫麻将外挂哪里买 广东快乐十分现场开奖 北京塞车双面盘玩法 北京麻将规则