安全与更新

2014年4月: Apache Struts2 高危漏洞公告

2014-04-25

紧急漏洞名称:Apache Struts2 S2-020远程命令执行漏洞


漏洞编号

Bugtraq ID:65999

CVE ID:2014-0094


危险级别:


漏洞描述

Apache Struts2 是一款用于创建企业级Java Web应用的开源框架。Apache Struts 2.3.16及之前的版本允许远程攻击者通过传递给getClass方法的class参数来操纵ClassLoader,执行任意代码。

官方发布的S2-020的补丁存在安全绕过漏洞,攻击者可以利用该绕过漏洞执行恶意操作,造成拒绝服务攻击或任意代码执行攻击。


NGAF解决办法

深信服下一代防火墙(NGAF)的入侵防御模块能够对报文流量进行检测,一旦发现请求页面参数中的异常内容,就会对该数据包实施拦截,避免用户遭受攻击。建议NGAF用户升级最新的IPS特征库,防御可能的网络攻击。


相关厂商解决方案

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。http://struts.apache.org/development/2.x/





获得支持

国内技术服务电话:

400-630-6430

  • 未开通400电话的区域请拨打:

    0731-88726847

  • 邮件技术支持:

    support@sangfor.com.cn

  • 服务质量监督电话:

    0755-86336190