亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號(hào):CNTA-2016-0023

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Apache Struts2 S2-033遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2016-03754，對(duì)應(yīng)CVE-2016-3087）。遠(yuǎn)程攻擊者利用漏洞在啟動(dòng)動(dòng)態(tài)方法且安裝部署了REST插件的Struts 2服務(wù)器上遠(yuǎn)程執(zhí)行指令。根據(jù)評(píng)估，該漏洞影響要小于或等同于S2-032漏洞的影響范圍。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級(jí)web應(yīng)用框架，并成為當(dāng)時(shí)國(guó)內(nèi)外較為流行的容器軟件中間件。此前在4月底，官方廠(chǎng)商發(fā)布了修復(fù)S2-032遠(yuǎn)程代碼執(zhí)行漏洞的Struts 2.3.20.3，2.3.24.3，2.3.28.1相關(guān)版本，近日又發(fā)布了S2-033的安全升級(jí)公告，但提示的對(duì)應(yīng)升級(jí)版本號(hào)與此前S2-032相同。

根據(jù)CNVD技術(shù)組成員單位——綠盟科技公司提供的分析情況，在官方提供的版本庫(kù)中，刪除了Struts 2.3.20.2和2.3.24.2版本。這兩個(gè)版本是通過(guò)在DefaultActionMapper.java文件中加入了對(duì)method成員變量值的過(guò)濾，并針對(duì)“action：”濫用的問(wèn)題禁止了絕大多數(shù)的特殊字符，這兩個(gè)版本也可以防范針對(duì)S2-032漏洞的攻擊。而最終修復(fù)S2-032\S2-033的版本則是直接將method方法引入了OGNL表達(dá)式（ObjectGraph Navigation Library），通過(guò)對(duì)OGNL表達(dá)式的過(guò)濾來(lái)修復(fù)漏洞。綜合上述情況，CNVD認(rèn)為官方發(fā)布S2-033的安全公告只是有針對(duì)性地對(duì)部署REST插件功能的情形進(jìn)行補(bǔ)充，漏洞技術(shù)成因仍與S2-032相同。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)與S2-032相同，為“高危”。

二、漏洞影響范圍

漏洞影響使用REST插件的Struts 2.3.20 - 2.3.28 (除2.3.20.3和2.3.24.3以外)版本。

三、漏洞修復(fù)建議

用戶(hù)可禁用動(dòng)態(tài)方法調(diào)用（DynamicMethod Invocation），修改Struts2的配置文件struts.xml，將struts.enable.DynamicMethodInvocation設(shè)置為“false”，關(guān)閉動(dòng)態(tài)方法調(diào)用功能，來(lái)規(guī)避該漏洞的攻擊威脅。

Apache Struts官方已發(fā)布了升級(jí)程序修復(fù)該漏洞，CNVD建議用戶(hù)升級(jí)至struts 2.3.20.3，2.3.24.3，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。

附：參考鏈接：

http://struts.apache.org/docs/s2-033.html

http://www.cnvd.org.cn/flaw/show/CNVD-2016-03754

http://blog.nsfocus.net/apache-struts2-vulnerability-technical-analysis-protection-scheme-s2-033/（綠盟科技公司分析結(jié)果）