【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册

  • A+
所属分类:安全漏洞

通告编号:NS-2020-0047

2020-08-14
TAG: Struts、S2-059、CVE-2019-0230、S2-060、CVE-2019-0233
洞危害:

攻击者利用漏洞,可实现远程代码执行和拒绝服务攻击。

版本: 1.0

1

漏洞概述


8月13日,Struts官方发布安全通告公布了2个安全漏洞:S2-059(CVE-2019-0230)是一个潜在的远程代码执行漏洞,S2-060(CVE-2019-0233)是一个拒绝服务漏洞。S2-059(CVE-2019-0230)源于Apache Struts框架在被强制使用时,会对某些标签的属性进行二次求值,这可能导致远程代码执行,当在Struts标签属性中强制使用OGNL表达式并可被外部输入修改时,攻击者可构造恶意的OGNL表达式触发漏洞。S2-060(CVE-2019-0233)源于在上传文件时,攻击者可以通过构造特别的请求造成访问权限的错误,从而导致后续操作失败并报错,造成拒绝服务攻击。

Apache Struts 框架是用于创建Java Web应用程序的免费开源解决方案,应用非常广泛;这2个漏洞均已在2019年11月份发布的Struts 2.5.22版本中修复,建议相关用户尽快升级版本进行防护。


参考链接:

https://struts.apache.org/announce.html#a20200813

https://www.mail-archive.com/[email protected]/msg06037.html


SEE MORE →


2影响范围

受影响版本

  • Apache Struts 2.0.0 - 2.5.20


不受影响版本
  • Apache Struts >= 2.5.22


3漏洞检测

3.1  版本检测

maven的项目可通过pom.xml查看当前使用的struts2版本:

【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册

也可通过查看lib中的核心包查看strut2版本:

【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册

若当前版本在受影响范围内,则可能存在安全风险。


3.2  产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)、网络入侵检测系统(IDS)、统一威胁监测探针(UTS)已具备对该两个漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。


升级包版本号

升级包下载链接

RSAS V6 Web插件包

 V6.0R02F00.1805

http://update.nsfocus.com/update/downloads/id/107465

WVSS V6插件升级包

V6.0R03F00.171

http://update.nsfocus.com/update/downloads/id/107466

IDS

5.6.9.23223

http://update.nsfocus.com/update/downloads/id/107356

5.6.10.23223

http://update.nsfocus.com/update/downloads/id/107357

UTS

5.6.10.23040

http://update.nsfocus.com/update/downloads/id/106574

关于RSAS的升级配置指导,请参考如下链接

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg


4漏洞防护

4.1  官方升级

官方已在2019年11月发布的2.5.22版本中修复了这两个漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://struts.apache.org/download.cgi#struts-ga


4.2  临时防护措施

若相关用户暂时无法进行升级操作,也可使用以下措施进行临时缓解:

S2-059(CVE-2019-0230):

1. 将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证,不要在值以外的标签属性中使用%{...} or ${...}语法引用用户可修改的输入。

2. 考虑开启Proactive OGNL Expression Injection Protection。

开启ONGL表达式注入保护请参阅官方指南:

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

参考:https://cwiki.apache.org/confluence/display/ww/s2-059


S2-060(CVE-2019-0233):

在struts-default.xml文件中,找到struts.excludedPackageNames常数,并将jave.io.以及java.nio.添加到value属性中。

参考:https://cwiki.apache.org/confluence/display/WW/S2-060


4.3  产品防护

针对S2-059(CVE-2019-0230)与S2-060(CVE-2019-0233)漏洞,绿盟科技防护产品原有规则即可防护,建议相关用户升级至最新版本规则,形成安全产品防护能力。安全防护产品规则版本号如下:

安全防护产品

规则版本号

升级包下载链接

规则编号

IPS

5.6.9.23223

http://update.nsfocus.com/update/downloads/id/107356

[21374]

5.6.10.23223

http://update.nsfocus.com/update/downloads/id/107357

[21374]

WAF

6.0.4.1.45556

http://update.nsfocus.com/update/downloads/id/106064

25612369

25612388
27002869
27004845

6.0.5.1.44233

http://update.nsfocus.com/update/downloads/id/103609

6.0.7.1.45776 

http://update.nsfocus.com/update/downloads/id/106567

NF

6.0.1.819

http://update.nsfocus.com/update/downloads/id/106591

[21374]

6.0.2.819

http://update.nsfocus.com/update/downloads/id/106592

[21374]

产品规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

WAF:https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

NF:https://mp.weixin.qq.com/s/bggqcm9VqHiPnfV1XoNuDQ

4.4  平台监测

绿盟企业安全平台(ESP-H)与绿盟智能安全运营平台(ISOP)已经具备针对S2-059(CVE-2019-0230)与S2-060(CVE-2019-0233)的检测能力,部署有绿盟科技平台类产品的用户,可实现对漏洞的平台监测能力。

安全平台

升级包/规则版本号

ESP-H(绿盟企业安全平台)

使用最新规则升级包

ESP-EVENTRULE-005-20200510

ISOP(绿盟智能安全运营平台)

升级攻击识别规则包至最新

attack_rule.1.0.0.1.1026508.dat


END

作者:绿盟科技威胁对抗能力部

【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册         
【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册        
声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。            

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。            

【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册

绿盟科技安全情报 微信公众号
【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册
【漏洞通告】Apache Struts(CVE-2019-0230、CVE-2019-0233)处置手册
长按识别二维码,关注网络安全威胁信息


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: