聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在的远程代码执行“缺陷。
Apache Struts 作为开源的 MVC Web 应用框架,可使开发人员构建 Java 应用,一直以来受到多个严重漏洞的影响,而其中很多漏洞和 Struts 2 应用的 OGNL 技术有关。
Apache 发布安全公告指出,该漏洞的编号为 CVE--17530。当通过%{...}语法应用强制性 OGNL 评估时,标记的属性可执行双重评估。另外,当强制性 OGNL 评估应用于不受信任的输入时,可实现远程代码执行。
类似漏洞(CVE--0230)曾在8月份发布新版本 Struts 2.5.22时解决。
按照设计,Struts 2 中包含双重评估功能,在既定表达式中引用经验证的值后应用。然而,当引用不受信任的用户输入时,就可能导致恶意代码遭注入。
解决方案
Apache 提出的缓解措施很简单:开发人员应当确保强制性 OGNL 评估为用于不受信任的输入中。
该漏洞影响 Struts 2.0.0 至 Struts 2.5.25,且已在 Struts 2.5.26 中解决,通过执行检查确保表达式评估不会导致双重评估。
美国国土安全部 CISA 发布安全公告,通知该漏洞补丁已发布,并发布警告称该缺陷可导致攻击者接管易受攻击的系统,并建议用户和管理员应用补丁。
推荐阅读
Apache Commons Collections反序列化漏洞分析与复现
Apache Shiro权限绕过漏洞 (CVE--11989) 挖掘分析和复现
Apache Solr 未授权上传(RCE)漏洞(CVE--13957)的原理分析与验证
原文链接
/possible-code-execution-flaw-apache-struts
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个“在看” 或 "赞” 吧~
