会员服务

Apache Struts2 S2-057漏洞

2018 年 8 月 24 日 黑白之道


一、漏洞描述


2018年8月23日,Apache Strust2发布最新安全公告,Apache Struts2 存在远程代码执行的高危漏洞,该漏洞由Semmle Security Research team的安全研究员汇报,漏洞编号为CVE-2018-11776(S2-057)。Struts2在XML配置中如果namespace值未设置且(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。


二、漏洞影响面


影响面

确定CVE-2018-11776为高危漏洞。

实际场景中存在一定局限性,需要满足一定条件。


影响版本

Struts 2.3 to 2.3.34

Struts 2.5 to 2.5.16


修复版本

Struts 2.3.35

Struts 2.5.17


三、漏洞验证


本地验证:

https://github.com/ym2011/POC-EXP/tree/master/Struts2/S2-057


在线验证:

http://0day.websaas.com.cn/


详细验证:

https://lgtm.com/blog/apache_struts_CVE-2018-11776


环境搭建:https://downloads.lgtm.com/snapshots/java/apache/struts/apache-struts-7fd1622-CVE-2018-11776.zip


四、修复建议


       官方提供的临时解决方案:当上层动作配置中没有设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。


目前Apache官方发布新版本(2.3.35或2.5.17版本)中修复了该漏洞,建议更新,下载地址http://archive.apache.org/dist/struts/


你可能喜欢

Apache Struts2 再爆漏洞(ST2-054,ST2-055) 通告

Apache Struts2插件高危漏洞(S2-052)

警惕Apache Struts2最新(CVE-2017-5638,S02-45)漏洞

登录查看更多
0

相关内容

java开发框架
【2020新书】实战R语言4,323页pdf
【2020新书】实战R语言4,323页pdf
专知会员服务
98+阅读 · 2020年7月1日
【新书】图神经网络导论,清华大学刘知远老师著作
【新书】图神经网络导论,清华大学刘知远老师著作
专知会员服务
359+阅读 · 2020年6月12日
《周志华机器学习详细公式推导版》完整PDF首发!1.1w+标星开源项目pumpkin-book
《周志华机器学习详细公式推导版》完整PDF首发!1.1w+标星开源项目pumpkin-book
专知会员服务
281+阅读 · 2020年5月27日
【硬核书】可扩展机器学习:并行分布式方法
【硬核书】可扩展机器学习:并行分布式方法
专知会员服务
81+阅读 · 2020年5月23日
【ICLR2020-MIT】元学习的好奇心算法,Meta-learning curiosity algorithms
【ICLR2020-MIT】元学习的好奇心算法,Meta-learning curiosity algorithms
专知会员服务
33+阅读 · 2020年3月13日
【2020新书】Kafka实战:Kafka in Action,209页pdf
【2020新书】Kafka实战:Kafka in Action,209页pdf
专知会员服务
65+阅读 · 2020年3月9日
AAAI2020最新「机器教学Machine teaching」115页ppt,UIUC伊利诺伊大学香槟分校
AAAI2020最新「机器教学Machine teaching」115页ppt,UIUC伊利诺伊大学香槟分校
专知会员服务
32+阅读 · 2020年2月10日
【从半结构化网页获取知识】Ceres: Harvesting Knowledge from Semi-Structured web pages,亚马逊首席科学家| Xin Luna Dong
【从半结构化网页获取知识】Ceres: Harvesting Knowledge from Semi-Structured web pages,亚马逊首席科学家| Xin Luna Dong
专知会员服务
17+阅读 · 2019年12月13日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
94+阅读 · 2019年12月4日
【强化学习研讨会|Microsoft Research】安全公平的机器学习(Safe and Fair Machine Learning)
【强化学习研讨会|Microsoft Research】安全公平的机器学习(Safe and Fair Machine Learning)
专知会员服务
15+阅读 · 2019年10月3日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
15+阅读 · 2019年5月13日
Pupy – 全平台远程控制工具
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
DeepTech深科技
6+阅读 · 2017年12月3日
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
云头条
4+阅读 · 2017年12月2日
OK-VQA: A Visual Question Answering Benchmark Requiring External Knowledge
OK-VQA: A Visual Question Answering Benchmark Requiring External Knowledge
Arxiv
9+阅读 · 2019年9月4日
3D-LaneNet: end-to-end 3D multiple lane detection
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
Large-Scale Study of Curiosity-Driven Learning
Large-Scale Study of Curiosity-Driven Learning
Arxiv
8+阅读 · 2018年8月13日
Incorporating Glosses into Neural Word Sense Disambiguation
Arxiv
4+阅读 · 2018年5月21日
Faithfully Explaining Rankings in a News Recommender System
Arxiv
5+阅读 · 2018年5月14日
Topic Modelling of Everyday Sexism Project Entries
Arxiv
3+阅读 · 2018年4月5日
SQL-Rank: A Listwise Approach to Collaborative Ranking
Arxiv
6+阅读 · 2018年2月28日
Information and Environment: IoT-Powered Recommender Systems
Arxiv
5+阅读 · 2018年2月28日
A Big Data Analysis Framework Using Apache Spark and Deep Learning
Arxiv
3+阅读 · 2017年11月25日
DeepWalk: Online Learning of Social Representations
Arxiv
8+阅读 · 2014年6月27日
VIP会员
相关主题
Struts
Apache
Struts 2
TEAM
XPath
相关VIP内容
【2020新书】实战R语言4,323页pdf
【2020新书】实战R语言4,323页pdf
专知会员服务
98+阅读 · 2020年7月1日
【新书】图神经网络导论,清华大学刘知远老师著作
【新书】图神经网络导论,清华大学刘知远老师著作
专知会员服务
359+阅读 · 2020年6月12日
《周志华机器学习详细公式推导版》完整PDF首发!1.1w+标星开源项目pumpkin-book
《周志华机器学习详细公式推导版》完整PDF首发!1.1w+标星开源项目pumpkin-book
专知会员服务
281+阅读 · 2020年5月27日
【硬核书】可扩展机器学习:并行分布式方法
【硬核书】可扩展机器学习:并行分布式方法
专知会员服务
81+阅读 · 2020年5月23日
【ICLR2020-MIT】元学习的好奇心算法,Meta-learning curiosity algorithms
【ICLR2020-MIT】元学习的好奇心算法,Meta-learning curiosity algorithms
专知会员服务
33+阅读 · 2020年3月13日
【2020新书】Kafka实战:Kafka in Action,209页pdf
【2020新书】Kafka实战:Kafka in Action,209页pdf
专知会员服务
65+阅读 · 2020年3月9日
AAAI2020最新「机器教学Machine teaching」115页ppt,UIUC伊利诺伊大学香槟分校
AAAI2020最新「机器教学Machine teaching」115页ppt,UIUC伊利诺伊大学香槟分校
专知会员服务
32+阅读 · 2020年2月10日
【从半结构化网页获取知识】Ceres: Harvesting Knowledge from Semi-Structured web pages,亚马逊首席科学家| Xin Luna Dong
【从半结构化网页获取知识】Ceres: Harvesting Knowledge from Semi-Structured web pages,亚马逊首席科学家| Xin Luna Dong
专知会员服务
17+阅读 · 2019年12月13日
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
【干货】大数据入门指南:Hadoop、Hive、Spark、 Storm等
专知会员服务
94+阅读 · 2019年12月4日
【强化学习研讨会|Microsoft Research】安全公平的机器学习(Safe and Fair Machine Learning)
【强化学习研讨会|Microsoft Research】安全公平的机器学习(Safe and Fair Machine Learning)
专知会员服务
15+阅读 · 2019年10月3日
热门VIP内容
相关资讯
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
15+阅读 · 2019年5月13日
Pupy – 全平台远程控制工具
Pupy – 全平台远程控制工具
黑白之道
43+阅读 · 2019年4月26日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
DeepTech深科技
6+阅读 · 2017年12月3日
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
云头条
4+阅读 · 2017年12月2日
相关论文
OK-VQA: A Visual Question Answering Benchmark Requiring External Knowledge
OK-VQA: A Visual Question Answering Benchmark Requiring External Knowledge
Arxiv
9+阅读 · 2019年9月4日
3D-LaneNet: end-to-end 3D multiple lane detection
3D-LaneNet: end-to-end 3D multiple lane detection
Arxiv
7+阅读 · 2018年11月26日
Large-Scale Study of Curiosity-Driven Learning
Large-Scale Study of Curiosity-Driven Learning
Arxiv
8+阅读 · 2018年8月13日
Incorporating Glosses into Neural Word Sense Disambiguation
Arxiv
4+阅读 · 2018年5月21日
Faithfully Explaining Rankings in a News Recommender System
Arxiv
5+阅读 · 2018年5月14日
Topic Modelling of Everyday Sexism Project Entries
Arxiv
3+阅读 · 2018年4月5日
SQL-Rank: A Listwise Approach to Collaborative Ranking
Arxiv
6+阅读 · 2018年2月28日
Information and Environment: IoT-Powered Recommender Systems
Arxiv
5+阅读 · 2018年2月28日
A Big Data Analysis Framework Using Apache Spark and Deep Learning
Arxiv
3+阅读 · 2017年11月25日
DeepWalk: Online Learning of Social Representations
Arxiv
8+阅读 · 2014年6月27日
大家都在搜
  1. TDGN
  2. 成飞
  3. 大型语言模型
  4. 扩散模型
  5. 知识图谱
  6. 李清照词作
  7. AGV
  8. 卡尔曼
  9. 图与推荐指南针
  10. 关系图注意力网络-Relational Graph Attention Networks
    11.
Top
微信扫码咨询专知VIP会员
Top