Apache軟體基金會(Apache Software Foundation)於周一(11/5)警告,特定版本的Struts 2採用了含有遠端程式攻擊漏洞的Commons FileUpload函式庫,呼籲用戶儘快更新。
Struts為一開源的Java網路應用程式框架,Commons FileUpload則是該框架所內建的檔案上傳機制,此編號為CVE-2016-1000031的漏洞存在於Commons FileUpload 1.3.2,早在2016年就被發現及修補。
根據漏洞的說明資訊,Commons FileUpload中有個Java物件在被反序列化時可寫入或複製檔案到任何磁碟,雖然該物件可單獨使用,但也能在呼叫反序列化時整合ysoserial以上傳及執行二進位文件。
然而,Apache在今年10月釋出的Struts 2.3.36卻仍然使用了內含漏洞的Commons FileUpload 1.3.2,而且更早之前的Struts 2.3.x版本也同樣受到波及。
美國系統網路安全研究院(SANS Institute)指出,目前並沒有簡單的新版Struts可以修補此一漏洞,開發人員必須手動置換Commons FileUpload版本,只要下載Commons FileUpload 1.3.3並將它拖曳至WEB-INF/lib中,它就能取代舊版,若是基於Maven的專案,還得更新其相依性。
由於Struts並非唯一使用Commons FileUpload函式庫的專案,因此SANS也建議開發人員最好檢查所有的系統。
至於Apache軟體基金會在9月釋出的Struts 2.5.18則已經採用了安全的Commons FileUpload 1.3.3,而不受該漏洞的影響。
熱門新聞
2024-04-29
2024-04-30
2024-04-29
2024-04-30
2024-05-01
2024-04-29
2024-04-28
2024-04-30