当前位置: 维易PHP培训学院 > apache教程 > 内容正文

Apache Struts2插件高危漏洞(S2-052)

作者:华盟黑白之道   时间 2017-09-06

《Apache Struts2插件高危漏洞(S2-052)》要点:
本文介绍了Apache Struts2插件高危漏洞(S2-052),希望对您有用。如果有疑问,可以联系我们。

维易PHP培训学院每天发布《Apache Struts2插件高危漏洞(S2-052)》等实战技能,PHP、MYSQL、LINUX、APP、JS,CSS全面培养人才。

由Lukasz Lenart创建,最后一次修改是在昨天晚上7点43分.

概要

当使用带有XStream处理程序的Struts REST插件来处理XML有效负载时,可能会发生远程执行代码攻击

Apache Struts2插件高危漏洞(S2-052)

问题

REST插件正在使用 XStreamHandler XStream的实例进行反序列化,而不进行任何类型过滤,这可能导致在反序列化XML有效内容时执行远程执行代码.

解决方法

升级到Apache Struts版本2.5.13或2.3.34.

向后兼容性

由于应用的可用类的默认限制,某些REST操作可能会停止工作.在这种情况下,请调查介绍的新接口以允许每个操作定义类限制,那些接口是:

  • apache.struts2.rest.handler.AllowedClasses

  • apache.struts2.rest.handler.AllowedClassNames

  • apache.struts2.rest.handler.XStreamPermissionProvider

应急方法

可能没有彻底解决方法,目前最好的方式就是在不使用的时候删除Struts REST插件,或者将其限制在服务器正常的页面和JSONs中:

Apache Struts2插件高危漏洞(S2-052)

转载请注明本页网址:
http://www.vephp.com/jiaocheng/13032.html


    标签:  




同类教程排行


特辑教程