新版發佈:Struts2 S2-057遠程代碼執行漏洞預警V2.0
原標題:新版發佈:Struts2 S2-057遠程代碼執行漏洞預警V2.0
漏洞安全公告
Struts2是Apache軟件基金會負責維護的一個基於MVC設計模式的Web應用框架開源項目。 2018年8月22日,Struts官方公開了漏洞S2-057,詳情如下:
漏洞名稱
Apache Struts2 遠程代碼執行漏洞S2-057
公開日期
2018-08-22
漏洞等級
緊急
漏洞描述
1:定義xml配置時namespace 值未設置,並且上層動作未配置或通配namespace時,可能產生遠程代碼執行漏洞。
2:URL標籤未設置value和action值,並且其上層動作未配置或通配namespace時,可能產生遠程代碼執行漏洞。
CVE ID
CVE-2018-11776
影響版本
Struts2.3-2.3.34
Struts2.5-2.5.16
不受影響版本
Struts2.3.35
Struts2.5.17
參考鏈接
https://cwiki.apache.org/confluence/display/WW/S2-057
漏洞檢測
產品檢測
2018年8月23日安恆信息對於S2-057做了緊急響應,所有涉及Web漏洞檢測產品均已更新檢測規則,使用安恆信息明鑑Web應用弱點掃描器、明鑑網站安全監測平臺、明鑑遠程安全評估系統、明鑑等級保護工具箱的用戶都可以通過升級規則庫進行漏洞檢測。
免費快速檢測
1.重大漏洞在線檢測系統
安恆信息對於重大漏洞還提供了在線免費檢測系統,旨在用戶可以方便快速檢測自身應用是否存在相關安全威脅,通過訪問https://0day.websaas.com.cn/輸入被檢測系統目標地址即可一鍵免費快速檢測。
2.Struts2漏洞檢查工具
對於應用系統處於內網又暫未購買安恆檢測產品的用戶還可以向安恆信息官方客服或致電400-6059-110索取最新Struts2漏洞檢查工具,該工具集成了Struts2多個漏洞檢測規則,並可批量驗證檢測。