登录后即可下载附件和看图片
您需要 登录 才可以下载或查看,没有账号?立即注册
x
漏洞背景 apache组织于3月6开始陆续更新了Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10的一个高危漏洞的相关内容,通过该漏洞可允许远端攻击执行任意程式码。 远程攻击者利用该漏洞可直接取得网站服务器控制权。由该应用较为广泛,且攻击利用代码已经公开,已导致互联网上大规模攻击的出现。 漏洞分析 Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。 基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。
该漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。 对于我们的影响 MCP分为认证业务、后台管理业务,由于struts2的技术框架只在后台管理业务上有使用,在认证业务上并未引用,因此认证业务不存在Struts组件的高危漏洞。 只有在后台管理业务上存在Struts组件的高危漏洞,具体影响包含:可以通过此漏洞不需要用户登录帐号和密码即可远程获取服务器信息、远程调用操作系统命令、远程上传文件等。 例如:某客户在中招后,服务器上被运行了apache服务,该服务大量占用CPU和磁盘IO,导致MCP无法正常对外提供服务。
漏洞修复 临时规避方式: 通过更新临时补丁修复,补丁预警系统的MCP关于Struts漏洞补丁说明。 解决方法: RG-MCP软件版更新到RG-MCP_1.37b1版本; RG-RCP中的MCP版本更新到MCP的1.38版本。 | 
