Apache Struts 中两年前的严重漏洞重现,官方发布补丁
我要评论Apache Software Foundation 发布了一个安全公告 S2-062,中两重漏以解决 Struts 2.0.0 到 2.5.29 版本中存在的年前一个远程代码执行漏洞;攻击者可以利用此漏洞来控制受影响的系统。对此,严洞重丁美国网络安全和基础设施安全局 (CISA) 也发布公告敦促组织查看 Apache 的现官公告,并尽快升级到最新的布补 Struts 2 补丁版本。
该漏洞被跟踪为 CVE-2021-31805,中两重漏是年前由于 2020 年 CVE-2020-17530 (S2-061) 的不完整修复造成的。也就是严洞重丁说,这一漏洞早在 2020 年就已存在且当时被认为已修复,现官但事实证明问题并未完全得到解决。布补
在 2020 年,免费信息发布网中两重漏GitHub 的年前研究人员 Alvaro Munoz 和 Aeye 安全实验室的 Masato Anzai 报告了 Struts 2 版本 2.0.0 - 2.5.25 在某些情况下存在一个 OGNL 注入漏洞,编号为 CVE-2020-17530,严洞重丁在 CVSS 严重性方面获得了 9.8 分(满分 10 分)。现官
“如果开发者使用 %{...} 语法进行强制 OGNL 评估,布补标签的一些属性仍然可以执行双重评估。对不信任的用户输入使用强制 OGNL 评估可能导致远程代码执行和安全性能下降。”
对象图导航语言 (Object-Graph Navigation Language,OGNL) 是一种开源的 Java 表达式语言,简化了 Java 语言中的表达式范围。它被集成在 Struts2 等框架中,作用是对数据进行访问;拥有类型转换、亿华云计算访问对象方法、操作集合对象等功能。
尽管 Apache 在 Struts 2.5.26 中解决了 2020 年所报告的漏洞,但研究人员 Chris McCown 发现,所应用的修复方案并不完整。他向 Apache 报告称,“双重评估”问题仍然可以在 Struts 版本 2.5.26 及更高版本中重现。
作为解决措施,Apache 方面建议开发人员避免基于不受信任的用户输入在标签属性中使用强制 OGNL 评估,和/或升级到 Struts 2.5.30 或更高版本,以检查表达式评估是否不会导致双重评估。并建议遵循安全指南以获得最佳实践。
本文转自OSCHINA
本文标题:Apache Struts 中两年前的严重漏洞重现,b2b供应网官方发布补丁
本文地址:https://www.oschina.net/news/191310/apache-struts-bug-new-patch
相关文章
电脑U盘接口安装教程(轻松学会安装U盘接口的方法,方便文件传输和存储)
摘要:随着科技的进步,U盘已成为我们日常生活中必不可少的存储设备。然而,对于一些初学者来说,如何正确地安装U盘接口可能会有一些困惑。本文将以详细的教程方式介绍如何安装U盘接口,以帮助读者...2025-11-05- 摘要:XP系统是Windows操作系统中经典的版本之一,很多用户仍然喜欢使用它。本文将提供一份详细的原版系统XP安装教程,让读者能够轻松地安装这个经典的操作系统。准备工作...2025-11-05
- 摘要:在使用电脑的过程中,我们常常会遇到电脑关机时出现错误的情况,这不仅影响了我们的正常使用,还可能导致数据丢失等问题。本文将介绍一些有效的方法来修复电脑关机出现的错误。检查硬件...2025-11-05
电脑手绘服装表格教程(学习如何使用电脑软件手绘精美的服装表格)
摘要:在时尚设计领域,服装表格是一个非常重要的工具,可以帮助设计师记录和展示他们的创意想法。而如何使用电脑软件手绘出精美的服装表格,成为了许多时尚设计师追求的技能。本文将为您介绍一套简单...2025-11-05- 摘要:在使用电脑的过程中,有时候可能会遇到电脑突然断电的情况。这种情况不仅会导致数据丢失,还会给我们的工作和生活带来很多不便。而错误651则是一个可能导致电脑突然断电的问题。本文将详细介...2025-11-05
- 摘要:在现代社会中,电脑数据扮演着越来越重要的角色。然而,随之而来的是数据错误的增加。其中一个常见的错误类型就是循环冗余检查CRC)。循环冗余检查是一种用于检测和修复数据传输过程中的错...2025-11-05
最新评论