漏洞发布
首页 > 安全文摘 > 漏洞发布> 正文

【漏洞预警】Apache Struts2 再爆漏洞(ST2-054,ST2-055) 通告

2017年12月1日下午,Apache Strusts发布漏洞编号为CVE-2017-7525(S2-055)的安全漏洞,漏洞危害程度为中等(Moderate)。

作者:silence来源:webray|2017-12-04 00:00:19
1.漏洞概述

S2-054漏洞简述:

2017年12月1日,Apache Strusts发布漏洞编号为CVE-2017-15707(S2-054)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts REST插件使用了过时的JSON-lib库,这个库很容易受到攻击,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。

https://cwiki.apache.org/confluence/display/WW/S2-054

S2-055漏洞简述:

2017年12月1日下午,Apache Strusts发布漏洞编号为CVE-2017-7525(S2-055)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。

https://cwiki.apache.org/confluence/display/WW/S2-055

2.漏洞基本信息

产生原因

Apache Struts REST插件使用了过时的JSON-lib库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞ID

CVE-2017-15707(S2-054)

产生原因

Apache Struts调用了存在反序列化漏洞的Jackson JSON库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞危害

CVE-2017-7525(S2-055)

3.修复建议

s2-054修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

s2-055修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,具体查看:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770

【责任编辑:silence 】

分享:

安全快讯+更多

由比利时诺本集团主办的“第十届中国金融科技系列峰会-聚焦金融业网络安全”于2017年11月23日至24日在上海斯格威铂尔曼酒店成功召开,来自政府、银行、证券公司、保险公司、金融机构、相关技术与服务提供商的百余位领导和专家出席了本届论坛。
10月24日,GeekPwn2017国际安全极客大赛在上海举办。一位中国选手现场演示了利用自己发现的苹果公司最新上市的手机iPhone 8最新系统漏洞...
9月11日,第五届中国互联网安全大会(ISC2017)将在北京国家会议中心举行。作为亚太地区规格最高、规模最大、影响力最深远的安全峰会,本届ISC上将会有多位国内外重量级嘉宾亮相,这其中就包括世界传奇黑客——Benjamin Kunz Mejri。
北京一家科技公司开发名为“FIREBALL(火球)”的恶意软件,捆绑正常软件传染境外互联网,一年内感染全球超2.5亿台电脑,并利用植入广告,牟利近8000万元人民币。
美国华盛顿,7月20日,美国司法部长杰夫·塞申斯在新闻发布会上表示,在一个被称为“里程碑式”的国际行动中,美国执法机构已将全球最大暗网交易网站AlphaBay关闭。