通告编号:NS-2020-0047
| TAG: | Struts、S2-059、CVE-2019-0230、S2-060、CVE-2019-0233 |
| 漏洞危害: |
攻击者利用漏洞,可实现远程代码执行和拒绝服务攻击。 |
| 版本: | 1.0 |
漏洞概述
8月13日,Struts官方发布安全通告公布了2个安全漏洞:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。S2-059(CVE-2019-0230)源于Apache Struts框架在被强制使用时,会对某些标签的属性进行二次求值,这可能导致远程代码执行,当在Struts标签属性中强制使用OGNL表达式并可被外部输入修改时,攻击者可构造恶意的OGNL表达式触发漏洞。S2-060(CVE-2019-0233)源于在上传文件时,攻击者可以通过构造特别的请求造成访问权限的错误,从而导致后续操作失败并报错,造成拒绝服务攻击。
Apache Struts 框架是用于创建Java Web应用程序的免费开源解决方案,应用非常广泛;这2个漏洞均已在2019年11月份发布的Struts 2.5.22版本中修复,建议相关用户尽快升级版本进行防护。
参考链接:
https://struts.apache.org/announce.html#a20200813
https://www.mail-archive.com/[email protected]/msg06037.html
SEE MORE →
2影响范围
受影响版本
-
Apache Struts 2.0.0 - 2.5.20
-
Apache Struts >= 2.5.22
3漏洞检测
3.1 版本检测
maven的项目可通过pom.xml查看当前使用的struts2版本:
也可通过查看lib中的核心包查看strut2版本:
若当前版本在受影响范围内,则可能存在安全风险。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)、统一威胁监测探针(UTS)已具备对该两个漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
|
升级包版本号 |
升级包下载链接 |
|
|
RSAS V6 Web插件包 |
V6.0R02F00.1805 |
http://update.nsfocus.com/update/downloads/id/107465 |
|
WVSS V6插件升级包 |
V6.0R03F00.171 |
http://update.nsfocus.com/update/downloads/id/107466 |
|
IDS |
5.6.9.23223 |
http://update.nsfocus.com/update/downloads/id/107356 |
|
5.6.10.23223 |
http://update.nsfocus.com/update/downloads/id/107357 |
|
|
UTS |
5.6.10.23040 |
http://update.nsfocus.com/update/downloads/id/106574 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防护
4.1 官方升级
官方已在2019年11月发布的2.5.22版本中修复了这两个漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://struts.apache.org/download.cgi#struts-ga
4.2 临时防护措施
若相关用户暂时无法进行升级操作,也可使用以下措施进行临时缓解:
S2-059(CVE-2019-0230):
1. 将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证,不要在值以外的标签属性中使用%{...} or ${...}语法引用用户可修改的输入。
2. 考虑开启Proactive OGNL Expression Injection Protection。
开启ONGL表达式注入保护请参阅官方指南:
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
参考:https://cwiki.apache.org/confluence/display/ww/s2-059
S2-060(CVE-2019-0233):
在struts-default.xml文件中,找到struts.excludedPackageNames常数,并将jave.io.以及java.nio.添加到value属性中。
参考:https://cwiki.apache.org/confluence/display/WW/S2-060
4.3 产品防护
针对S2-059(CVE-2019-0230)与S2-060(CVE-2019-0233)漏洞,绿盟科技防护产品原有规则即可防护,建议相关用户升级至最新版本规则,形成安全产品防护能力。安全防护产品规则版本号如下:
|
安全防护产品 |
规则版本号 |
升级包下载链接 |
规则编号 |
|
IPS |
5.6.9.23223 |
http://update.nsfocus.com/update/downloads/id/107356 |
[21374] |
|
5.6.10.23223 |
http://update.nsfocus.com/update/downloads/id/107357 |
[21374] |
|
|
WAF |
6.0.4.1.45556 |
http://update.nsfocus.com/update/downloads/id/106064 |
25612369 25612388 |
|
6.0.5.1.44233 |
http://update.nsfocus.com/update/downloads/id/103609 |
||
|
6.0.7.1.45776 |
http://update.nsfocus.com/update/downloads/id/106567 |
||
|
NF |
6.0.1.819 |
http://update.nsfocus.com/update/downloads/id/106591 |
[21374] |
|
6.0.2.819 |
http://update.nsfocus.com/update/downloads/id/106592 |
[21374] |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww
WAF:https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA
NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ
4.4 平台监测
绿盟企业安全平台(ESP-H)与绿盟智能安全运营平台(ISOP)已经具备针对S2-059(CVE-2019-0230)与S2-060(CVE-2019-0233)的检测能力,部署有绿盟科技平台类产品的用户,可实现对漏洞的平台监测能力。
|
安全平台 |
升级包/规则版本号 |
|
ESP-H(绿盟企业安全平台) |
使用最新规则升级包 ESP-EVENTRULE-005-20200510 |
|
ISOP(绿盟智能安全运营平台) |
升级攻击识别规则包至最新 attack_rule.1.0.0.1.1026508.dat |
END
作者:绿盟科技威胁对抗能力部
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论