【安全公告】Apache Struts 2任意代码执行漏洞通告(CVE-2016-3081, S02-32)



  • 近日曝出Apache Struts 2任意代码执行漏洞(CVE-2016-3081, S02-32),会给用户的 Apache 运行环境以及 Linux 主机造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。

    容易遭受入侵的环境

    用户自建的运行了 Apache Struts 2 服务的 Linux 主机, 并开启了动态方法调用。

    漏洞影响范围

    Struts 2.0.0 - Struts Struts2.5.BETA3 (不包括已修复版本2.3.20.2 and 2.3.24.2,2.3.28.1)

    修复方法

    • 关闭动态方法调用
    <constantname=“struts.enable.DynamicMethodInvocation” value=http://www.tuicool.com/articles/“false”/>
    
    • 升级至2.3.20.2, 2.3.24.2 or 2.3.28.1

    漏洞详情

    漏洞详情可以参见乌云的分析: http://drops.wooyun.org/papers/15430

    另外,有任何其他问题可以工单与我们联系。

    QingCloud 技术团队


登录后回复
 

与 青云QingCloud 社区 的连接断开,我们正在尝试重连,请耐心等待