服务公告

全部公告 > 安全公告 > Apache Struts2 S2-054/055安全漏洞威胁预警

Apache Struts2 S2-054/055安全漏洞威胁预警

2017-12-06

一、概要

Apache Struts2近期曝出存在S2-054 DoS漏洞CVE-2017-15707和JASON反序列化漏洞CVE-2017-7525。漏洞的影响范围:Struts 2.5 - Struts 2.5.14。官方已发布修复补丁,受影响版本建议升级到Struts2.5.14.1。

目前业界暂未发现利用代码。

官方链接:

https://cwiki.apache.org/confluence/display/WW/S2-054

https://cwiki.apache.org/confluence/display/WW/S2-055

二、漏洞级别

漏洞级别:重要。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Struts 2.5.x版本:Struts 2.5 - Struts 2.5.14

四、排查方法

开发人员检查是否使用了受影响版本范围内的Struts 2.5版本。

五、安全建议

1、将Struts2版本升级至 2.5.14.1。

参考地址:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1

2、S2-054还可以使用另一种缓解方法:使用Jackson处理程序替代默认的 JSON-lib处理程序 。

参考地址:http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

注意:升级前请将资料备份,并进行充分测试。