Apache Struts2安全风险预警

发布时间:2016-07-18浏览次数:2004


近日,国家信息安全漏洞共享平台(CNVD)发布了 Apache Struts 2 devMode远程代码执行漏洞(CNVD-2016-04656)。该漏洞产生的原因是由于开启了Struts2 devMode模式,且Apache Struts2官方以往修复措施未完善(溯及S2-008漏洞),远程攻击者利用该漏洞可执行任意命令,进而控制服务器主机。

受漏洞影响的版本有Struts 2.1.0——2.5.1,且开启devMode模式的用户。

修复建议:用户可关闭devMode模式(在配置文件中将devMode设置为false)。可参照如下进行修改:

将struts.properties中的devMode设置为false,或是在struts.xml中添加如下代码:<constant name=struts.devMode value=false />。

请各单位尽快排查是否在用相关版本Apache Struts2,如有使用,应及时修复。