一、背景介紹

Apache Struts框架是一個(gè)一個(gè)基于 Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web應(yīng)用框架的開(kāi)源項(xiàng)目，Struts基于Model-View-Controller (MVC)的設(shè)計(jì)模式，可以用來(lái)構(gòu)件復(fù)雜的Web應(yīng)用。

它允許我們分解一個(gè)應(yīng)用程序的商業(yè)邏輯、控制邏輯和表現(xiàn)邏輯的代碼，使它的重用性和維護(hù)性更好。Struts框架是Jakarta工程的一部分，由Apache軟件基金會(huì)管理

1.1漏洞描述

根據(jù)Apache 于2018年8月22日發(fā)布的安全公告表明，Struts2由于部分配置不當(dāng)或可造成遠(yuǎn)程命令執(zhí)行漏洞。

安全公告描述，有兩種情況會(huì)照成命令執(zhí)行：

1)當(dāng)Struts2 的命名空間沒(méi)有為基礎(chǔ)xml配置中定義的結(jié)果設(shè)置值時(shí)，可能造成RCE，同時(shí)，其上部操作配置沒(méi)有通配符namespace。

2)當(dāng)使用url沒(méi)有value和action設(shè)置的標(biāo)簽并且同時(shí)其上部動(dòng)作配置沒(méi)有或通配符時(shí)，命名空間的條件跟第一種情況相同。

1.2漏洞編號(hào)

CVE-2018-11776

1.3漏洞等級(jí)

高危

二、修復(fù)建議

2.1受影響版本

Struts 2.3 – Struts 2.3.34

Struts 2.5 – Struts 2.5.16

其它不受支持的Struts版本也可能受到影響

2.2解決方案

請(qǐng)盡快升級(jí)到Apache Struts版本2.3.35或2.5.17，該版本已解決可能存在的遠(yuǎn)程代碼執(zhí)行漏洞，同時(shí)它們還包含關(guān)鍵的整體主動(dòng)安全性改進(jìn)。

如果您暫時(shí)無(wú)法執(zhí)行升級(jí)操作，可以嘗試以下緩解方案。驗(yàn)證已經(jīng)為所有XML配置下定義的結(jié)果都設(shè)置了命名空間，同時(shí)驗(yàn)證對(duì)所有的JSP中的所有URL 標(biāo)簽中都設(shè)置了屬性和Action，如果上層的動(dòng)作配置沒(méi)有設(shè)置命名空間或者通配符命名空間，也同樣需要為他們?cè)O(shè)置。