Apache Struts2远程代码执行漏洞S2-048 CVE-2017-9791 分析和防护方案

简介:

今天,Apache Struts官方发布公告,漏洞编号为S2-048 CVE-2017-9791,公告称Struts2和Struts1中的一个Showcase插件可能导致远程代码执行,并评价为高危漏洞。 绿盟科技发布分析和防护方案,其中开放了在线检测工具

https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12

通告全文如下

Apache Struts2远程代码执行漏洞S2-048 CVE-2017-9791

2017年7月7日,Apache Struts发布最新的安全公告,Apache Structs2的strus1插件存在远程代码执行的高危漏洞,漏洞编号为 CVE-2017-9791 ( S2-048 )。攻击者可以构造恶意的字段值通过Struts2的Struts1的插件,远程执行代码。

相关链接如下:

https://cwiki.apache.org/confluence/display/WW/S2-048

影响范围

影响版本: Apache Struts Version: 2.3.x

不受影响的版本: Apache Struts Version:2.5.10.1

s2-048%20Global.png

s2-048%20china.png

s2-048%20Global%20rank.png

s2-048%20china%20rank.png

(数据来自绿盟科技威胁情报中心NTI)

Struts2远程代码执行漏洞S2-048防护方案

官方解决方案

官方已经发布了版本更新,建议用户升级到Struts 2.5.10.1版本,下载链接如下所示:

临时修复方案

  • 开发者通过使用资源调用方式替代原始值传递方式给ActionMessage的方式。 如下所示:

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

不要使用如下的方式:

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

  • 在非必要的情况下禁用struts2-struts1-plugin插件。将struts2-struts1-plugin-2.3.x.jar文件从 “/WEB-INF/lib”目录中移动到其他文件夹或者删除。

技术防护方案

绿盟科技检测方案

  1. 如果您不清楚是否受此漏洞影响,公网资产可使用绿盟云紧急漏洞在线检测,检测地址如下:
    • https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12
  2. 内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6 )或 Web应用漏洞扫描系统(WVSS) 进行检测。
    • 远程安全评估系统(RSAS V6)
    • http://update.nsfocus.com/update/listRsasDetail/v/vulweb
    • Web应用漏洞扫描系统(WVSS)
    • http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

通过上述链接,升级至最新版本即可进行检测!

绿盟科技防护方案

使用绿盟科技防护类产品(IPS/IDS/NF/WAF)进行防护

入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

下一代防火墙系统(NF)

http://update.nsfocus.com/update/listnf

Web应用防护系统(WAF)

http://update.nsfocus.com/update/wafIndex

通过上述链接,升级至最新版本即可进行防护!

绿盟科技服务方案

绿盟科技提供专业的安全技术服务,全方位的保障客户应用系统安全,避免受此漏洞影响。

  • 短期服务:我们可以提供应急服务,服务内容包括对客户应用系统有针对性的提供修复建议,保障客户系统的安全升级。
  • 中长期服务:结合绿盟科技检测与防护产品,提供7*24的安全运营服务,在客户应用系统遭到安全威胁时第一时间通知客户,并定期进行安全检测,针对安全风险提供专业的解决方案。

Struts2远程代码执行漏洞S2-048技术分析

官方的漏洞描述如下:

s2-048%20problem.png

从官方的漏洞描述可以知道,这个漏洞本质上是在struts2-struts1-plugin这个jar包上。这个库是将struts1的action封装成struts2的action以便在strut2上使用。本质问题出在struts2-struts1-plugin包Struts1Action.java文件中,Struts1Action类中的execute方法调用了getText函数,这个函数会执行ognl表达式,更为严重的是getText的输入内容是攻击者可控的。以下会基于struts2的官方示例进行分析。

Struts1Action的execute方法代码如下,从红框中信息可以看出其实质是调用SaveGangsterAction.execute方法,然后再调用getText(msg.getKey()….)。

s2-048%20call.png

在struts2-showcase的integration模块下有SaveGangsterAction类的execute方法(位于SaveGangsterAction.java文件)用于实现。具体如下:

s2-048%20function.png

在这个方法中就带入有毒参数gforn.getName()放到了messages结构中,gform.getName()的值是从客户端获取的。

Gangsterform.getName()的实现如下:

s2-048%20getname.png

这里传入了${1+1},有毒参数已经带入,就差ognl表达式,继续回到Struts1Action类的execute方法下半部分,有getText()的入口,能清晰看到参数已经被污染,具体如下图:

s2-048%20gettext.png

下面进入getText的实现函数,这个调用栈比较深,首先我们给出栈图:

s2-048%20gettext%20function.png

从Struts1action.execute函数开始,到ActionSupport的getText()方法,方法如下:

s2-048%20execute.png

进入TextProviderSuppport.getText,调用其另一个重载类方法getText(),示例如下:

s2-048%20gettext%20reload.png

进入LocalizeTextUtil.findText,继续分析其实现:从名字上也能看出其是根据用户的配置做一些本地化的操作。代码如下:

s2-048%20findtext.png

到这里就能发现这就是一个很典型的ognl表达式入口,先是得到一个valueStack,再继续递归得到ognl表达式的值。官方参考链接:

https://struts.apache.org/maven/struts2-core/apidocs/com/opensymphony/xwork2/util/LocalizedTextUtil.html

最后附上一个简单的测试用例图:

s2-048%20showcase1.png

s2-048%20showcase.png

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



原文发布时间:2017年7月7日

本文由:安全加 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/apache-struts2-rce-cve-2017-9791#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
2月前
|
消息中间件 监控 数据挖掘
基于RabbitMQ与Apache Flink构建实时分析系统
【8月更文第28天】本文将介绍如何利用RabbitMQ作为数据源,结合Apache Flink进行实时数据分析。我们将构建一个简单的实时分析系统,该系统能够接收来自不同来源的数据,对数据进行实时处理,并将结果输出到另一个队列或存储系统中。
108 2
|
22天前
|
存储 JSON 物联网
查询性能提升 10 倍、存储空间节省 65%,Apache Doris 半结构化数据分析方案及典型场景
本文我们将聚焦企业最普遍使用的 JSON 数据,分别介绍业界传统方案以及 Apache Doris 半结构化数据存储分析的三种方案,并通过图表直观展示这些方案的优势与不足。同时,结合具体应用场景,分享不同需求场景下的使用方式,帮助用户快速选择最合适的 JSON 数据存储及分析方案。
查询性能提升 10 倍、存储空间节省 65%,Apache Doris 半结构化数据分析方案及典型场景
|
1月前
|
存储 大数据 数据挖掘
【数据新纪元】Apache Doris:重塑实时分析性能,解锁大数据处理新速度,引爆数据价值潜能!
【9月更文挑战第5天】Apache Doris以其卓越的性能、灵活的架构和高效的数据处理能力,正在重塑实时分析的性能极限,解锁大数据处理的新速度,引爆数据价值的无限潜能。在未来的发展中,我们有理由相信Apache Doris将继续引领数据处理的潮流,为企业提供更快速、更准确、更智能的数据洞察和决策支持。让我们携手并进,共同探索数据新纪元的无限可能!
81 11
|
2月前
|
安全 Java 网络安全
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
|
2月前
|
存储 运维 数据处理
Apache Paimon:重塑阿里智能引擎数据处理新纪元,解锁高效存储与实时分析潜能!
【8月更文挑战第2天】探索 Apache Paimon 在阿里智能引擎的应用场景
171 2
|
2月前
|
消息中间件 Kafka Apache
流计算引擎数据问题之Apache Kafka Streams 没有采用低水印方案如何解决
流计算引擎数据问题之Apache Kafka Streams 没有采用低水印方案如何解决
44 0
|
2月前
|
消息中间件 Kafka Apache
流计算引擎数据问题之Apache Flink 的完整性推理方案设计如何解决
流计算引擎数据问题之Apache Flink 的完整性推理方案设计如何解决
47 0
|
2月前
|
安全 Java 网络安全
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
|
4月前
|
SQL 运维 druid
深度分析:Apache Doris及其在大数据处理中的应用
Apache Doris是一款开源的高性能实时分析数据库,设计用于低延迟SQL查询和实时数据处理,适合大规模实时分析场景。与Apache Druid、ClickHouse和Greenplum相比,Doris在易用性和实时性上有优势,但其他产品在特定领域如高吞吐、SQL支持或数据处理有特长。选型要考虑查询性能、实时性、SQL需求和运维成本。Doris适用于实时数据分析、BI报表、数据中台和物联网数据处理。使用时注意资源配置、数据模型设计、监控调优和导入策略。
|
4月前
|
easyexcel Java API
Apache POI与easyExcel:Excel文件导入导出的技术深度分析
Apache POI与easyExcel:Excel文件导入导出的技术深度分析

推荐镜像

更多
下一篇
无影云桌面