Apache Struts2（S2-045）漏洞反思总结

2017的3.8-3.9号，Apache Struts2出现漏洞，该漏洞影响范围广，危害级别高。轻则系统文件感染，严重则系统瘫痪。

国家信息安全漏洞库（CNNVD）收到关于Apache Struts2 （S2-045）远程代码执行漏洞（CNNVD-201703-152）的情况报送。，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：

详情可查看官网：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

360：http://bobao.360.cn/interref/appdetail/43.html

1、漏洞简介

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web 应用的开源MVC框架，主要提供两个版本框架产品： Struts 1和Struts 2。

ApacheStruts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程***者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

2、漏洞危害

***者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi ，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

3、修复措施

目前，Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

3.1）自查方式

用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。

3.2）升级修复

受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。

http://struts.apache.org/download.cgi#struts25101

3.3）临时缓解

如用户不方便升级，可采取如下临时解决方案：

删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。切记此方法不要贸然执行，否则会出现网站不可访问现象，应当询问相应开发人员，核实再删除。

4、漏洞后的反思：

4.1）安全隔离，漏洞排查，保障业务运行。

4.2）有WEB集群支持，防止业务不能正常运行。

4.3）云服务器做WEB更好，毕竟专业的检查机制比较好。

4.4）可靠的备份机制，确保数据的完整性。

4.5）后门***检测（检测系统命令是否被篡改），漏洞扫描，系统安全防护。

4.6）日志系统的支持（合理判断是系统由于何总方式***），以及行为审计。

4.7）漏洞过后的安全防护

...