Apache Struts2（S2-045）漏洞反思總結

2017的3.8-3.9號，Apache Struts2出現漏洞，該漏洞影響范圍廣，危害級別高。輕則系統文件感染，嚴重則系統癱瘓。

國家信息安全漏洞庫（CNNVD）收到關于Apache Struts2 （S2-045）遠程代碼執行漏洞（CNNVD-201703-152）的情況報送。，國家信息安全漏洞庫（CNNVD）對此進行了跟蹤分析，情況如下：

詳情可查看官網：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

360：http://bobao.#/interref/appdetail/43.html

1、漏洞簡介

Apache Struts是美國阿帕奇（Apache）軟件基金會負責維護的一個開源項目，是一套用于創建企業級Java Web 應用的開源MVC框架，主要提供兩個版本框架產品： Struts 1和Struts 2。  

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在遠程代碼執行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。該漏洞是由于上傳功能的異常處理函數沒有正確處理用戶輸入的錯誤信息。導致遠程***者可通過發送惡意的數據包，利用該漏洞在受影響服務器上執行任意命令。    

2、漏洞危害

***者可通過發送惡意構造的HTTP數據包利用該漏洞，在受影響服務器上執行系統命令，進一步可完全控制該服務器，造成拒絕服務、數據泄露、網站造篡改等影響。由于該漏洞利用無需任何前置條件（如開啟dmi ，debug等功能）以及啟用任何插件，因此漏洞危害較為嚴重。

3、修復措施

目前，Apache官方已針對該漏洞發布安全公告。請受影響用戶及時檢查是否受該漏洞影響。

3.1）自查方式

用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar 文件，如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

3.2）升級修復

受影響用戶可升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。

http://struts.apache.org/download.cgi#struts25101

3.3）臨時緩解

如用戶不方便升級，可采取如下臨時解決方案：

刪除commons-fileupload-x.x.x.jar文件（會造成上傳功能不可用）。切記此方法不要貿然執行，否則會出現網站不可訪問現象，應當詢問相應開發人員，核實再刪除。

4、漏洞后的反思：

4.1）安全隔離，漏洞排查，保障業務運行。

4.2）有WEB集群支持，防止業務不能正常運行。

4.3）云服務器做WEB更好，畢竟專業的檢查機制比較好。

4.4）可靠的備份機制，確保數據的完整性。

4.5）后門***檢測（檢測系統命令是否被篡改），漏洞掃描，系統安全防護。

4.6）日志系統的支持（合理判斷是系統由于何總方式***），以及行為審計。

4.7）漏洞過后的安全防護

...