APACHE STRUTS远程代码执行漏洞通告
漏洞描述:
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年8月13日披露 S2-059Struts 远程代码执行漏洞(CVE-2019-0230),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的效果。
受影响版本:
· 2.0.0 <= Apache Struts <= 2.5.29
不受影响版本:
· Apache Struts>= 2.5.30
漏洞检测方法:
使用maven打包的项目可通过pom.xml查看当前使用的struts2版本:
也可通过查看lib中的核心包查看struts版本
漏洞防护:
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快更新进行防护,下载链接:https://struts.apache.org/download.cgi#struts-ga ,若暂时无法进行升级操作,可使用以下措施进行临时缓解:
1. 将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证,不要在值以外的标签属性中使用%{…} 语法引用用户可修改的输入。
2. 开启ONGL表达式注入保护。
MailData声明
通过自检,MailData全系、全版本邮件安全产品所使用中间件,均未使用Django、Apache Struts、jc21 nginx proxy manager等存在高危漏洞的组件,不存在漏洞风险,请广大用户放心使用。
同时,我们也会持续关注最新安全动态,加大自查力度,提升安全敏锐度,加固自身产品并及时获取发布更多安全相关内容,确保系统的安全、稳定运行。