一、漏洞介绍
2018年8月22日,Apache Struts2官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。利用此次Apache Struts2漏洞对采用Apache Struts2框架的企业Web服务器实施入侵,从而导致企业服务器被完全控制、企业敏感信息泄露、被植入勒索病毒加密破坏服务器,或利用服务器资源运行挖矿木马等严重后果。
Struts是Apache基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型互联网企业、金融机构等网站建设,并作为网站开发的底层模板使用。因此,各相关单位技术人员,及时验证漏洞情况并采取有效防范措施,以免遭受严重影响。
二、危害影响
成功利用该漏洞的攻击者,可以在目标系统中执行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此漏洞影响。
三、修复建议
目前,Apache官方已经发布了新的版本更新修复了该漏洞。 区委网信办提示相关单位及时确认Apache Struts产品版本,如受影响,请及时采取修补措施。漏洞修补措施如下:
升级到struts2 2.3.35 或者 struts2 2.5.17
https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0