CNCERT:关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

安全公告编号:CNTA-2018-0025

2018年8月22日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 S2-057远程代码执行漏洞(CNVD-2018-15894,对应CVE-2018-11776)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞验证脚本尚未公开,厂商已发布升级版本修复此漏洞。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller(MVC)模型java企业web应用框架,成为国内外较为流行的容器软件中间件。

2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员Man YueMo发现。该漏洞是由于在Struts2开发框架中使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符namespace,可能导致远程代码执行。同理,url标签未设置value和action值且上层动作未设置或用通配符namespace时也可能导致远程代码执行。

上述漏洞存在的代码问题位于DefaultActionMapper这个类的parseNameAndNamespace方法里,如下图所示:

CNCERT:关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

图1 代码分析

当alwaysSelectFullNamespace被设置为true时,namespace的值从uri中获取,由此可知uri是可控的,所以这就直接导致了namespace可控。最终会调用TextParseUtil.translateVariables方法解析Ognl语句。

将namespace污染为$(2333+2333),可成功带入函数并执行。漏洞利用结果如下图所示:

CNCERT:关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

图2 漏洞利用

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

目前,漏洞影响的产品版本包括但不限于:

Struts 2.3-2.3.34

Struts 2.5-2.5.16

三、漏洞处置建议

目前,Apache公司已发布了新版本(Struts 2.3.35或Struts 2.5.17)修复了该漏洞,CNVD建议用户及时升级最新版本:

https://cwiki.apache.org/confluence/display/WW/S2-057

暂无法及时更新的用户,可采用如下临时解决方案:

当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action,确保上述namespace、value和action值均不可控。

附:参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-15894

https://cwiki.apache.org/confluence/display/WW/S2-057

感谢CNVD技术组成员单位——北京奇虎科技有限公司为本公告提供的技术支持。 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。

原文 

https://www.secrss.com/articles/4773

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » CNCERT:关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址