【安全公告】Apache Struts 2任意代码执行漏洞通告(CVE-2016-3081, S02-32)
-
近日曝出Apache Struts 2任意代码执行漏洞(CVE-2016-3081, S02-32),会给用户的 Apache 运行环境以及 Linux 主机造成安全风险,请可能被漏洞影响的用户仔细阅读本文,并做相应的处理。
容易遭受入侵的环境
用户自建的运行了 Apache Struts 2 服务的 Linux 主机, 并开启了动态方法调用。
漏洞影响范围
Struts 2.0.0 - Struts Struts2.5.BETA3 (不包括已修复版本2.3.20.2 and 2.3.24.2,2.3.28.1)
修复方法
- 关闭动态方法调用
<constantname=“struts.enable.DynamicMethodInvocation” value=http://www.tuicool.com/articles/“false”/>
- 升级至2.3.20.2, 2.3.24.2 or 2.3.28.1
漏洞详情
漏洞详情可以参见乌云的分析: http://drops.wooyun.org/papers/15430
另外,有任何其他问题可以工单与我们联系。
QingCloud 技术团队