Apache軟體基金會(Apache Software Foundation)於周一(11/5)警告,特定版本的Struts 2採用了含有遠端程式攻擊漏洞的Commons FileUpload函式庫,呼籲用戶儘快更新。

Struts為一開源的Java網路應用程式框架,Commons FileUpload則是該框架所內建的檔案上傳機制,此編號為CVE-2016-1000031的漏洞存在於Commons FileUpload 1.3.2,早在2016年就被發現及修補。

根據漏洞的說明資訊,Commons FileUpload中有個Java物件在被反序列化時可寫入或複製檔案到任何磁碟,雖然該物件可單獨使用,但也能在呼叫反序列化時整合ysoserial以上傳及執行二進位文件。

然而,Apache在今年10月釋出的Struts 2.3.36卻仍然使用了內含漏洞的Commons FileUpload 1.3.2,而且更早之前的Struts 2.3.x版本也同樣受到波及。

美國系統網路安全研究院(SANS Institute)指出,目前並沒有簡單的新版Struts可以修補此一漏洞,開發人員必須手動置換Commons FileUpload版本,只要下載Commons FileUpload 1.3.3並將它拖曳至WEB-INF/lib中,它就能取代舊版,若是基於Maven的專案,還得更新其相依性。

由於Struts並非唯一使用Commons FileUpload函式庫的專案,因此SANS也建議開發人員最好檢查所有的系統。

至於Apache軟體基金會在9月釋出的Struts  2.5.18則已經採用了安全的Commons FileUpload 1.3.3,而不受該漏洞的影響。


Advertisement

更多 iThome相關內容