Your browser does not support JavaScript!
:::
:::
資訊中心轉發資安預警情報(發布編號:ICST-ANA-2013-0017)

原發布內容如下:

發布編號 ICST-ANA-2013-0017 發布時間 Fri Jul 19 15:54:49 CST 2013
事故類型 漏洞預警 發現時間 Thu Jul 18 00:00:00 CST 2013
通告名稱 JAVA Web應用框架Apache Struts2高風險漏洞警訊
內容說明
JAVA Web應用框架Struts2 DefaultActionMapper之功能存在漏洞,若是遠端攻擊者使用「action:」、「redirect:」或「redirectAction:」為首的參數,將使其可以利用此漏洞執行任意程式碼。
目前已知網路上有相關攻擊程式可供下載,也有資料顯示網路上已出現針對此一弱點的攻擊活動,請機關多加留意。
影響平台 Apache Struts 2.0.0 至 Apache Struts 2.3.15
影響等級
建議措施 1.請確認機關網站是否使用Apache Struts2 Web應用框架。若有使用Struts2 Web應用框架,建議更新至Struts 2.3.15.1最新版本。

(1)檢查是否使用JAVA Web應用框架Struts2,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。

(2)請注意:Struts 2.3.15.1最新版本將不再支援「redirect:」及「redirectAction:」參數使用。若網站應用程式有使用此二功能,網站部分功能可能無法正常運作。

(3)若選擇不更新至Struts 2.3.15.1最新版本,應請程式開發人員針對Request的Query String進行過濾與驗證,降低遭有心人士透過惡意語法攻擊之風險。

2.建議進行網站程式開發時,應對使用者輸入字串(含網址列字串)進行過濾與驗證,避免使用者輸入非法字元內容,導致網站程式錯誤或系統異常狀態。
參考資料 1.弱點說明網頁:
(1) http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2251
(2) http://struts.apache.org/release/2.3.x/docs/s2-016.html
(3) http://xforce.iss.net/xforce/xfdb/85756
(4) http://www.securityfocus.com/bid/61189

2.Struts 2.3.15.1下載網址
http://struts.apache.org/download.cgi#struts23151

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼
最後更新日期
2017-11-23