最新!Apache Struts 又爆安全漏洞(危害程度特别大)

简介: 最新!Apache Struts 又爆安全漏洞(危害程度特别大)

Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。


很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。


具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰?


漏洞说明

攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务器拒绝服务。文件上传又有漏洞,这个真是牛皮癣啊,一直好不了。 影响范围:所有使用 Struts 2 的用户


危害等级:中

危害程度:拒绝服务

受影响版本:2.0.0 ~ 2.5.20

厂商:Apache

发布时间:2020-08-11

报告者:Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

CVE编号:CVE-2019-0233

漏洞修复

目前 Apache 已经在官网发布了漏洞修复方案,用户可以升级到 Struts 2.5.22+ 以修复漏洞。


如果升级版本太麻烦,实际情况不允许,也可以在 struts-default.xml 配置文件中 struts.excludedPackageNames 标签添加 java.io. 和 java.nio. 以排除这两个包名。


漏洞详情及修复链接:


https://cwiki.apache.org/confluence/display/ww/s2-060


尽快升级保平安吧!


也欢迎大家转发给还在用 Struts 2 的小伙伴们!


推荐去我的博客阅读更多:


1.Java JVM、集合、多线程、新特性系列教程


2.Spring MVC、Spring Boot、Spring Cloud 系列教程


3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程


4.Java、后端、架构、阿里巴巴等大厂最新面试题


觉得不错,别忘了点赞+转发哦!


相关文章
|
3月前
|
安全 Java 网络安全
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
|
云安全 监控 安全
关于Apache Log4j2 安全漏洞的说明
关于Apache Log4j2 安全漏洞的说明如下
288 3
关于Apache Log4j2 安全漏洞的说明
|
安全 Apache
漏洞预警:Apache httpd 出现多个重要安全漏洞
漏洞编号: CVE-2017-3167 CVE-2017-3169 CVE-2017-7659 CVE-2017-7668 CVE-2017-7679 漏洞名称: Apache httpd 多个安全漏洞 官方评级: 高危 漏洞描述: CVE-2017-3167 第三方模块在身份验证阶段使用ap_get_basic_auth_pw(),会导致绕过身份验证要求。
4570 0
|
Java Apache 数据格式
|
XML Java Apache
Apache Struts 2入门指南
版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.csdn.net/chszs/article/details/48877399 Apache Struts 2入门指南 作者:chszs,版权所有,未经同意,不得转载。
1051 0
|
Java Apache 数据格式
Apache Struts 2的命名空间实战
版权声明:本文为博主chszs的原创文章,未经博主允许不得转载。 https://blog.csdn.net/chszs/article/details/48877493 Apache Struts 2的命名空间实战 作者:chszs,版权所有,未经同意,不得转载。
749 0

推荐镜像

更多