赛宝动态

近日，著名J2EE框架——Struts2再次爆出高危安全漏洞。目前，Apache官网已发布公告，确认该漏洞并将此漏洞编号为S2-045，CVE编号为CVE-2017-5638，漏洞级别为高危，远程攻击者利用该漏洞可直接取得网站服务器控制权。

Struts是Apache基金会Jakarta项目组的一个开源项目，它采用MVC模式，帮助JAVA开发者利用J2EE开发Web应用。Struts已被广泛应用于大型互联网企业、政府、金融机构等网站建设，并作为网站开发的底层模板使用。目前，Struts2 S2-045攻击利用代码已经公开，已导致互联网上大规模攻击的出现。利用该漏洞，黑客可通过浏览器在存在该漏洞的网站服务器上执行任意系统命令、部署木马，达到窃取网站数据、篡改网页、植入后门、控制主机等恶意目的。该漏洞影响范围极广，涉及Struts 2.3.5 - Struts 2.3.31，Struts 2.5 - Struts 2.5.10多个版本。

针对该漏洞，赛宝信息安全研究中心给出以下修复建议：
1、将存在漏洞的Struts 2版本请升级至Struts2安全版本；
2、通过Servlet过滤器验证Content-Type值；
3、使用第三方安全防护设备进行防护。