中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
Apache Struts2存在S2-054拒绝服务漏洞与S2-055反序列化漏洞的安全公告
来自:|时间:2017年12月05日【字号: 】 【打印】 【关闭

国家信息安全漏洞共享平台(CNVD)收录了 Apache Struts2的两个中危漏洞,分别是:S2-054拒绝服务漏洞(CNVD-2017-35898,对应CVE-2017-15707),S2-055反序列化漏洞(CNVD-2017-27693,对应CVE-2017-7525)。攻击者可利用上述漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

一、漏洞情况分析

2017121日,Apache Strusts 官方发布了Struts2的两个中危漏洞,漏洞信息如下:

S2-054拒绝服务漏洞:ApacheStruts REST插件使用了过时的JSON-lib库,击者可以通过构造特制的JSON恶意请求造成DOS攻击。

 S2-055反序列化漏洞:由于ApacheStruts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。

CNVD对上诉漏洞的综合评级为“中危”。其中FasterXML Jackson-databind存在远程代码执行漏洞在201781日,已被CNVD库收录(CNVD-2017-27693)。

二、漏洞影响范围

Struts 2.5 Struts 2.5.14

三、防护建议

S2-054修复建议:

方法一:升级到Apache Struts版本2.5.14.1

方法二:使用Jackson处理程序替换默认的JSON-lib处理程序

S2-055修复建议:

方法一:升级到Apache Struts版本2.5.14.1

方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2

联系我们 | 网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页