校内各使用Apache Strust2构建管理信息系统的单位:
近日,Apache官方发布安全公告,Apache Struts2的REST插件存在远程代码执行的高危漏洞,编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
目前报道受影响的版本为Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12。官方推荐的解决办法是将Apache Struts2版本升级到2.3.34 或 2.5.13。我校部署的WAF防火墙中已经升级添加对此漏洞的规则描述。
我校存在一些网站和信息系统使用Apache Strust2框架构建,请管理员立刻参照技术文档进行检查和修复加固。同时也应处理修复之前发布的关于Apache Strust2框架的漏洞。
附:本次漏洞的官网描述为:https://cwiki.apache.org/confluence/display/WW/S2-052