信息安全

信息安全 首页 > 信息安全 > 信息安全 > 正文

【华中科技大学 - 漏洞预警】Apache Struts 远程代码执行漏洞(CVE-2016-100031)

发布时间:2018-11-07 浏览次数:

Apache软件基金会为Apache Struts发布了一个安全更新,以解决Commons FileUpload 库中可能导致远程代码执行的一个漏洞。我们建议立即更新相应软件版本。

漏洞概述

2018115(北美时间)Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-100031漏洞的安全公告,这是2016年初由Tenable研究团队报告的Commons FileUpload 库中的一个高危漏洞。这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。ASF报告说,Apache Struts 2.3.36及之前的版本是易受攻击的。远程攻击者可以使用此漏洞在运行易受攻击的Apache Struts版本的公开网站上获得远程代码执行能力。

漏洞危害

通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。

受影响范围

Apache Struts 2.3.36及之前的版本

Commons FileUpload 1.3.3之前的版本

修复建议

ASF确认Apache Struts 2.5.12及以上版本,包括Commons FileUpload库的修补版本1.3.3都已经修复此漏洞。如果可能的话,Apache Struts项目管理员应该尽快升级到2.5.12及以上版本。ASF还注释,通过简单地将WEB-INF/lib路径中的JAR文件替换为固定版本,可将Commons FileUpload库的已修补版本放入已经部署的项目中。基于MavenStruts项目可以通过添加以下依赖性来解决此漏洞:


版权所有:华中科技大学网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741