Analisis contoh laporan CNNVD tentang kelemahan keselamatan Apache Struts2 S2-057

Pada masa ini, Apache telah mengeluarkan kemas kini versi secara rasmi untuk membetulkan kelemahan ini. Adalah disyorkan bahawa pengguna mengesahkan versi produk Apache Struts tepat pada masanya, dan jika terjejas, sila ambil langkah menampal tepat pada masanya.

1. Pengenalan Kerentanan

Apache Struts2 ialah sub-projek projek Jakarta di bawah Yayasan Perisian Apache Amerika Ia berdasarkan rangka kerja aplikasi Web reka bentuk MVC.

Pada 22 Ogos 2018, Apache secara rasmi mengeluarkan kerentanan keselamatan Apache Struts2 S2-057 (CNNVD-201808-740, CVE-2018-11776). Apabila fungsi ruang nama pan didayakan dalam rangka kerja pembangunan struts2 dan hasil khusus digunakan, kelemahan pelaksanaan kod jauh akan dicetuskan.

2. Kesan

Penyerang yang berjaya mengeksploitasi kelemahan ini boleh melaksanakan kod hasad dalam sistem sasaran. Apache Struts 2.3–Apache Struts2.3.34, Apache Struts2.5–Apache Struts 2.5.16 dan versi lain semuanya terjejas oleh kerentanan ini.

3. Cadangan pembaikan

Pada masa ini, Apache secara rasmi telah mengeluarkan kemas kini versi untuk membetulkan kerentanan. Adalah disyorkan bahawa pengguna mengesahkan versi produk Apache Struts tepat pada masanya, dan jika terjejas, sila ambil langkah menampal tepat pada masanya. Langkah tampalan kelemahan adalah seperti berikut:

Naik taraf kepada struts2 2.3.35 atau struts2 2.5.17

Atas ialah kandungan terperinci Analisis contoh laporan CNNVD tentang kelemahan keselamatan Apache Struts2 S2-057. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!