:::

轉知:【漏洞預警】(ANA事件單通知:TACERT-ANA-2017090709092828)(【漏洞預警】Apache Struts 2.5至2.5.12版本中的REST套件存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9805),請儘速確認並進行修正)

資安通告
張貼人:網路系統組公告日期:2017-09-09

教育機構ANA通報平台

發佈編號

TACERT-ANA-2017090709092828

發佈時間

2017-09-07 09:03:32

事故類型

ANA-漏洞預警

發現時間

2017-09-06 00:00:00

影響等級

   

[主旨說明:]【漏洞預警】Apache Struts 2.52.5.12版本中的REST套件

存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-9805),請儘速

確認並進行修正

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊

NCCST-ANA-201709-0003

 

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架

REST(Representational State Transfer)則是一種全球資訊網軟體架構風格,

可便於不同軟體或程式在網路中互相傳遞資訊。

 

Apache Struts 2中的REST套件提供開發者可遵循REST的理念與原則進行

程式開發,該漏洞主要是在Apache Struts 2.52.5.12版本中,當使用

REST套件之XStream處理程序針對XML請求進行反序列化時,因未進行

類型過濾,可能導致攻擊者可傳送惡意的XML封包,進而造成遠端執行

任意程式碼與控制系統。

[影響平台:]

Apache Struts 2.52.5.12版本

[建議措施:]

1.  目前Apache官方已針對此弱點釋出修復版本,請儘速至官方網頁

 (https://struts.apache.org/download.cgi#struts2513) 進行更新。

 

2.  如無使用REST套件需求,請刪除REST套件。確認方式於

WEB-INF\lib目錄下是否有 struts2-rest-plugin-2.x.jar 檔案。

 

3.  如需在受影響平台中持續使用REST套件,可於REST套件內的

struts-plugin.xml 設定檔中,依官方網頁

(https://struts.apache.org/docs/s2-052.html) 所提供之解決方案進行內容新增,

可降低此漏洞影響程度。

[參考資料:]

1.https://struts.apache.org/docs/s2-052.html

2.https://github.com/apache/struts/blob/bbd4a9e8c567265c0eb376c0f8a3445f4d9a5fdf

/plugins/rest/src/main/resources/struts-plugin.xml

3.http://thehackernews.com/2017/09/apache-struts-vulnerability.html

 


最後修改時間:2017-09-09 PM 12:38

cron web_use_log