阅读更多

13顶
1踩

企业架构

原创新闻 Apache Struts2 再现漏洞

2013-06-06 17:27 by 副主编 wangguo 评论(16) 有25560人浏览
Apache Struts团队上周刚修复了一个潜在的远程命令执行漏洞今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。

Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。

在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理员也可以通过struts.xml来修改所允许动作名称的相关正则表达式),并且从OgnlTextParser中移除了双重求值功能。

你可以通过S2-015安全公告来查看问题的细节和相关示例。

新版本下载地址:http://struts.apache.org/download.cgi#struts23143
13
1
评论 共 16 条 请登录后发表评论
16 楼 mlw2000 2013-06-28 22:46
ta8210 写道
hxfein 写道
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全


那是struts 的核心依赖。要是更换struts就得在升一个大版本 struts3了


从状况看v3也不会换,ognl将成为apache commons的子项目
15 楼 ta8210 2013-06-22 11:38
hxfein 写道
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全


那是struts 的核心依赖。要是更换struts就得在升一个大版本 struts3了
14 楼 hxfein 2013-06-21 18:27
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全
13 楼 mlw2000 2013-06-18 09:41
ta8210 写道
panzs 写道
刚升级到2.3.14.2,新的漏洞又来了。


不用就没麻烦了。

OGNL作为核心组件,没办法选配吧?
12 楼 if(i!=我){} 2013-06-16 22:08
所以我现在正逐步使用Maven管理项目
11 楼 ta8210 2013-06-15 20:10
panzs 写道
刚升级到2.3.14.2,新的漏洞又来了。


不用就没麻烦了。
10 楼 ta8210 2013-06-15 20:09
fjjiaboming 写道
多年不用 struts 2
OGNL 关闭它就好.


干脆不用,省心。
9 楼 fjjiaboming 2013-06-15 15:55
多年不用 struts 2
OGNL 关闭它就好.
8 楼 szuu 2013-06-11 22:24
今天刚想用struts2来搭建平台,就下载这个最新的吧,用里面指定的<constant name="struts.allowed.action.names" value="[a-zA-Z]*" />
做了配置,还是安全重要。
谢谢发表此贴!!
7 楼 814687491 2013-06-09 11:32
还是下载新的,支持struts2
6 楼 panzs 2013-06-08 15:05
刚升级到2.3.14.2,新的漏洞又来了。
5 楼 skydove 2013-06-08 14:30
不大懂耶
4 楼 rmn190 2013-06-08 11:39
第一次在iteye上看到struts漏洞报告, 很亲切
3 楼 求求你帮帮我 2013-06-08 09:24
我以前利用过这个漏洞攻击过别人。
2 楼 javamonkey 2013-06-07 13:31
没看,不知道这个能不能解决
http://javamonkey.iteye.com/blog/1591901
从底层入手
1 楼 mlw2000 2013-06-07 06:10
OGNL Eval Expressions are source of security risks

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 软考_网络工程师_精华资料合集

    软考_网络工程师_精华资料合集.pdf

  • 网络工程师必备知识点

    作为网络工程师,您将负责设计、部署和维护计算机网络系统。这包括构建、配置和管理网络设备,如交换机、路由器、防火墙等,并确保网络系统能够高效地运行。您需要了解计算机网络的各个层次、协议、标准和技术,包括TCP/IP、DNS、HTTP、SSL等。此外,您还需要熟悉网络安全和防护,以确保网络的机密性、完整性和可用性。您可能需要协调不同团队和供应商,了解客户需求,提供技术支持和解决方案。作为网络工程师,您需要具备良好的沟通能力、解决问题的能力、团队合作精神和不断学习的态度。

  • 【网络工程】计算机网络专业术语概论全面整理

    网络是通过物理链接将各个独立的工作站或主机连接起来以形成数据链接,从而达到资源的共享和通信目的,并通过功能齐全的网络软件(如:网络协议,信息交换方法,网络操作系统等)实现网络资源共享的系统,被称为计算机网络概念。...

  • SNI生效条件 - 补充nginx-host绕过实例复现中SNI绕过的先决条件

    SNI机制生效时间,SNI机制工作流程,SNI机制绕过host头需要的条件

  • 网络工程师资料-永久有效

    百度网盘连接: 链接:https://pan.baidu.com/s/1ok3R_BgzlQ1A0UtYzLEVKw 提取码:0c4y –来自百度网盘超级会员V3的分享

  • 【SSL】client send ClientHello 后server 返回alert 40 错误

    今天遇到这样一个问题,我们的email在通过ssl连接到gmail , 163 等email server的时,都是OK的,但访问搜狐邮箱的时候,就出问题了,刚刚发送了clientHello出去之后,server就返回了alert 错误,如下图: 但是通过foxmail去connect 的时候,又是OK的,于是把网络包抓出来对比了一下,      IP(61.135.132.99)一致

  • 关于网络路由器的问题(深刻思考)

    首先,我们先要明白几个基本问题:

  • 网络安全工程师需要学哪些内容?零基础如何从入门到精通,看完这一篇就够了

    作为一名网络安全工程师,需要学习以下内容: 计算机网络和操作系统:网络安全工程师需要了解计算机网络和操作系统的基础知识,以便理解网络安全的基础原理。 网络协议和技术:了解各种网络协议和技术,包括TCP/IP、HTTP、SMTP、FTP等,以及VPN、防火墙、IDS/IPS等网络安全技术。 漏洞分析和渗透测试:网络安全工程师需要掌握漏洞分析和渗透测试的技术和方法,以便发现和修复系统中的安全漏洞。 安全编程和代码审计:了解常见的安全编程技术和方法,例如加密、身份验证和访问控制等。对代码审计也要有一定的了

  • 链路不通或服务器没响应,连不通服务器服务怎么办(理论篇)

    当你访问不到自己web服务器数据,当你ssh登陆被拒,当你pop3读取邮件失败…一句话,当你连不通你的服务器服务,你该怎么办?本文总结出通用而简单的步骤来指导你.足够简单的思路本地机器与远端服务器建立连接,消费服务的整个链路可显而易见划分为三部分,本机到网关部分,互联网部分,服务器网关到服务器部分.当然就大部分情况而言一般都是服务器部分的原因:出于安全问题的考虑,我们总会在服务器端进行访问限制,添...

  • 计算机网络小结

    计算机网络小结

  • 网络工程师都学什么?网络工程师学习路线内容

    大家在备考软考的时候肯定想着选择那些科目报名比较好,比较有发展前途,这里给大家整理了网络工程师的学习路线以及学习内容,仅供大家参考。 网络工程师是从事计算机信息系统的设计、建设、运行和维护工作,掌握网络技术的理论知识和操作技能。在软考中属中级资格,那么怎样才能具备这些技术呢?当然是需要进行全面的学习与实践训练了。 网络工程师都学什么? 要想知道网络工程师要学些什么东西,首先要了解网络工程师的...

  • http请求中必须具备哪个字段_详解http报文

    摘要作为一个web开发者,每天都在使用者Http协议,却总是一知半解。本文参看Http RFC7230规范,梳理了http报文部分。 http 报文构成start-line: 起始行,描述请求或响应的基本信息 *( header-field CRLF ): 头 CRLFheader起始行起始行的格式就是 start-line = request-line(请求起始行)/(响应起始行)status-...

  • 入门网络安全工程师要学习哪些内容

    大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。

  • 2024网工必备技术词汇大全(网络、运维、安全3大方向)

    很多人学习一个新事物都是从整体到局部这个节奏进行的,如果你想学习网络,首先你要知道网络基础的整体框架是什么样的。有了框架,就需要细节填充。我们账号里的所有技术文章都可以算在细节填充的范围内,但对刚入行的小白来说,的确还是比较吃力的,所以今天给大家分享一下这篇文章。这篇文章汇集了网工所需的技术术语合集,包含了网络基础、运维基础和安全基础三大部分。不管心态如何变化,技术依旧是自己手里最有力的武器。私信发送暗号**“配置命令”**,即可获取技术之路一把好武器。

  • 思科cisco NM系列模块

    NM-1E 1口以太网模块 NM-1FE-FX 1口快速以太网模块 FX...

  • 网络工程师必懂的专业术语

     路由器问题:1、什么时候使用多路由协议?      当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议:从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。你想使用另一种路由协议但又必须保留原来的协议。你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干

  • 网络工程专业术语I

    1、什么时候使用多路由协议? 当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议: 从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。 你想使用另一种路由协议但又必须保留原来的协议。 你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干扰。 你在一个由多

  • 网络工程师需要学c语言,网络工程师需要学哪些内容

    网络工程师主要学习的内容如下:①计算机基本语言,包括汇编语言、C语言、JAVA语言;②与硬件相关的知识,包括操作系统和计算机组成原理;③数据结构以及计算机网络等方面的知识等。网络工程师要考的科目1、计算机与网络知识,考试时间为150分钟,笔试;2、网络系统设计与管理,考试时间为150分钟,笔试。两门课程的基本考点:1、IP地址的划分;Cisco路由器与交换机的基本配置;2、网络安全与网络管理等基础...

  • 网络工程师复习资料整理

    针对网络工程师这个证提供复习的文档,还有30多天,各位请加油

Global site tag (gtag.js) - Google Analytics