cve-2017-5638

cve-2017-5638收藏本站找回密码开启辅助访问切换到宽版OTP 登录 注册 找回密码
安基网

请输入搜索内容
搜索

首页资讯软件IT技术公开课人才投稿

冰盾DDoS防火墙
冰盾DDoS防火墙
专业防护DDoS和CC攻击15年，网站和游戏服务器的保护神
点击了解详情
安基网»社区›：：技术交流区：：›电脑学堂›警惕Apache Struts2最新（CVE-2017-5638,S02-45）高危远 ...
返回列表发新帖
打印 上一主题 下一主题 警惕Apache Struts2最新（CVE-2017-5638,S02-45）高危远程代码执行漏洞 [复制链接]
son850318

TA的每日心情
开心
2018-3-2 08:04
签到天数: 75 天

[LV.6]无双隐士

累计在线11640分钟
电梯直达
跳转到指定楼层 1#
发表于 2017-3-7 10:37:26 | 只看该作者 回帖奖励
本帖最后由 son850318 于 2017-3-7 10:39 编辑

Apache Struts 2是世界上最流行的Java Web服务器框架之一。
然而在Struts 2上发现存在高危安全漏洞（CVE-2017-5638,S02-45）,该漏洞影响到：Struts 2.3.5 - Struts 2.3.31，Struts 2.5 - Struts 2.5.10
概要
基于Jakarta Multipart解析器执行文件上传时可能的远程执行代码。

问题
可能执行具有恶意Content-Type 值的RCE攻击 。如果Content-Type 值无效，则抛出异常，然后用于向用户显示错误消息。
建议
如果您使用基于Jakarta的文件上传Multipart解析器，请升级到Apache Struts 2.3.32或2.5.10.1版。你也可以切换到不同的实现多部分解析器。
向后兼容性
预期不会有向后不兼容问题。
解决方法
实现一个Servlet过滤器，它将验证Content-Type 并丢弃具有可疑值不匹配的请求 multipart/form-data.

立即注册！免费学习海量IT技术信息！！
您好！您暂时不能浏览帖子的全部内容，请 登录 | 没有帐号？ 注册QQ登录 （本帖含有附件）
收藏收藏1
回复 使用道具 举报
itzb 该用户已被删除
2#
发表于 2017-5-18 16:09:16 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对 使用道具 举报
返回列表发新帖
高级模式
BColorImageLinkQuoteCodeSmilies
您需要登录后才可以回帖 登录 | 注册
本版积分规则发表回复 回帖后跳转到最后一页
© 2003-2018 安基网（SAFEBASE.CN） 京公网安备11010802027589号 京ICP备10030376号-6 【手机版】Powered by Discuz 存档 联系信箱: 0daybank