Apache status2漏洞 祥云天地重磅出击

2017-03-10

Struts2漏洞不用急,祥云天地守护您!


Struts2远程命令执行漏洞S2-045

     Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵,漏洞评级为:高危


漏洞详情:恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。

风险等级:高风险。

漏洞风险:黑客通过利用漏洞可以实现远程命令执行。

影响版本:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10。

安全版本:Struts 2.3.32或2.5.10.1。


修复建议:

1、如您正在使用Jakarta文件上传插件,请升级Struts至安全版本。

2、如果您目前网络中运行有Imperva WAF设备的话,其实我们的系统因为有profile功能的存在,所以我们默认会识别异常的Content Type内容的出现,大家可以关注Unauthorized Request Content Type的Profile规则告警,利用Imperva动态建模技术就可以实现攻击的识别和拦截。

3、使用imperva自定义策略来识别和拦截。


   详情如下


1.  Signature Pattern: part="Content-Type", part="multipart/form-data",part="_memberAccess", rgxp="^Content-Type\s*:[^\x0A\x0D]*multipart\/form-data[^\x0A\x0D]*_memberAccess"

·         Protocols: http, https

·         Search Signature In: Headers


    完整过程如下:


     手动创建字典:

   

创建新的签名:

添加新的签名策略:


   以上是imperva解决Apache status2 漏洞的解决方法。


4、使用F5上VS挂载这个irules解决漏洞。

 

   

when HTTP_REQUEST {

      if { [HTTP::method] equals "POST" } {

 

          if { not ( [HTTP::header Content-Type] equals

"multipart/form-data" or [HTTP::header Content-Type] equals

"application/x-www-form-urlencoded" or [HTTP::header Content-Type] equals

"text/plain" ) } {

          reject

          log local0. "Rejecting a POST request with Content-type [

HTTP::header Content-Type] to  [HTTP::uri]  from  [IP::client_addr]"

          }

      }

}


   以上是F5的解决方案。


官方漏洞介绍:


 如果您对以上防护和策略设置建议还有不清楚的问题,可以随时联系祥云天地专业技术服务团队,Struts2漏洞不用急,祥云天地守护您!






本网站由阿里云提供云计算及安全服务 Powered by