【漏洞预警】Apache Struts2 再爆漏洞(ST2-054,ST2-055) 通告

webmaster 2017-12-04 00:00:19
1.漏洞概述

S2-054漏洞简述:

2017年12月1日,Apache Strusts发布漏洞编号为CVE-2017-15707(S2-054)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts REST插件使用了过时的JSON-lib库,这个库很容易受到攻击,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。

https://cwiki.apache.org/confluence/display/WW/S2-054

S2-055漏洞简述:

2017年12月1日下午,Apache Strusts发布漏洞编号为CVE-2017-7525(S2-055)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。

https://cwiki.apache.org/confluence/display/WW/S2-055

2.漏洞基本信息

产生原因

Apache Struts REST插件使用了过时的JSON-lib库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞ID

CVE-2017-15707(S2-054)

产生原因

Apache Struts调用了存在反序列化漏洞的Jackson JSON库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞危害

CVE-2017-7525(S2-055)

3.修复建议

s2-054修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

s2-055修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,具体查看:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770