亚洲AV日韩AⅤ综合手机在线观看,激情婷婷久久综合色,欧美色五月婷婷久久,久久国产精品99久久人人澡

  • 

    <abbr id="uk6uq"><abbr id="uk6uq"></abbr></abbr>
    • 

  • <tbody id="uk6uq"></tbody>
    • 


    
    
    
        
        
        
    
    

    

    
    
    
        
    
            
            
    Struts2遠(yuǎn)程代碼執(zhí)行高危漏洞響應(yīng)
    
            
    
                時(shí)間:2024-11-01 14:31:37 
                
                J2EE培訓(xùn)
                我要投稿
            
    
            
            
    
                
    
                    
      
                        
                        
    • 相關(guān)推薦
      • 
                    
    
                
    
                
    Struts2遠(yuǎn)程代碼執(zhí)行高危漏洞響應(yīng)
    
                
      J2EE是一套全然不同于傳統(tǒng)應(yīng)用開發(fā)的技術(shù)架構(gòu),包含許多組件,主要可簡(jiǎn)化且規(guī)范應(yīng)用系統(tǒng)的開發(fā)與部署,進(jìn)而提高可移植性、安全與再用價(jià)值。以下是小編整理的關(guān)于Struts2遠(yuǎn)程代碼執(zhí)行高危漏洞響應(yīng),希望大家認(rèn)真閱讀!
      漏洞描述
      該漏洞是Apache strut2 最新的一個(gè)漏洞,CVE編號(hào)CVE-2017-5638.(基于 Jakarta plugin插件的Struts遠(yuǎn)程代碼執(zhí)行漏洞),該漏洞會(huì)造成RCE遠(yuǎn)程代碼執(zhí)行,惡意用戶可在上傳文件時(shí)通過修改HTTP請(qǐng)求頭中的Content-Type值來觸發(fā)該漏洞,進(jìn)而執(zhí)行系統(tǒng)命令,可直接造成系統(tǒng)被控制。黑客通過Jakarta 文件上傳插件實(shí)現(xiàn)遠(yuǎn)程利用該漏洞執(zhí)行代碼。
      其風(fēng)險(xiǎn)等級(jí)為:高危
      因?yàn)锳pache Struts2是一種國(guó)內(nèi)使用非常廣泛的Web應(yīng)用開發(fā)框架,被大量的Web網(wǎng)站所使用。目前,對(duì)于此漏洞的利用代碼已經(jīng)擴(kuò)散,對(duì)網(wǎng)站安全構(gòu)成非常高的現(xiàn)實(shí)威脅。
      影響系統(tǒng)及版本:Struts2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10
      臨時(shí)處理方案
      *修改啟動(dòng)虛擬機(jī)相關(guān)選項(xiàng),修改Struts 2上傳文件時(shí)的上傳解析器為非Jakarta
      Struts 2默認(rèn)用Jakarta的Common-FileUpload的文件上傳解析器,這是存在漏洞的,默認(rèn)為以下配置
      struts.multipart.parser=jakarta
      指定其他類型的解析器,以使系統(tǒng)避免漏洞的影響:
      指定使用COS的文件上傳解析器
      struts.multipart.parser=cos
      或
      指定使用Pell的文件上傳解析器
      struts.multipart.parser=pell
      修復(fù)建議
      1、如果用戶使用基于Jakarta的多分片文件上傳解析器,強(qiáng)烈建議用戶立即升級(jí)到Apache Struts2.3.32 或 2.5.10.1 版本。
      2、天眼(SkyEye)未知威脅感知系統(tǒng)的流量探針已加入對(duì)利用此漏洞的攻擊檢測(cè)規(guī)則,可以精準(zhǔn)地發(fā)現(xiàn)相關(guān)的攻擊并判定是否攻擊成功,請(qǐng)升級(jí)天眼未知威脅感知系統(tǒng)到3.0.3.1或以上版本并升級(jí)最新的檢測(cè)規(guī)則。
      3、如客戶在無法確認(rèn)是否使用該框架或相關(guān)版本,可通過360網(wǎng)站云監(jiān)測(cè)服務(wù)、或360網(wǎng)站智能監(jiān)控系統(tǒng)檢查確認(rèn)是否爆出該漏洞,從而進(jìn)行下一步的防御措施。
      4、在漏洞爆出的第一時(shí)間,360WAF及360安域產(chǎn)品均已更新產(chǎn)品識(shí)別規(guī)則庫(kù),將針對(duì)該漏洞攻擊進(jìn)行識(shí)別和防護(hù)。
      5、客戶也可通過 “云”+“端”的防護(hù)方案對(duì)該類型漏洞進(jìn)行防護(hù),從另一個(gè)維度解決問題。將方案通過在將安全保護(hù)代碼嵌入到運(yùn)行中的服務(wù)器應(yīng)用程序,通過實(shí)時(shí)攔截所有的系統(tǒng)調(diào)用并確保調(diào)用安全,通過與云端防護(hù)系統(tǒng)的聯(lián)動(dòng),最終實(shí)現(xiàn)應(yīng)用程序自我保護(hù),同時(shí)可為客戶提供針對(duì)Web系統(tǒng)web攻擊防護(hù)、網(wǎng)頁(yè)防篡改等安全防護(hù)能力。通過該方案的實(shí)施部署,針對(duì)該類型的漏洞可做到無需升級(jí)、智能防護(hù),從另一個(gè)維度根本解決這類漏洞問題。
    

    【Struts2遠(yuǎn)程代碼執(zhí)行高危漏洞響應(yīng)】相關(guān)文章:
    在Java中執(zhí)行JavaScript代碼07-14
    中層管理的漏洞02-26
    過濾HTML代碼08-29
    數(shù)控編程代碼大全05-18
    jquery提交按鈕的代碼07-28
    電腦藍(lán)屏代碼大全08-04
    稅務(wù)籌劃常見八大漏洞09-23
    數(shù)控編程M代碼大全10-24
    Java中的動(dòng)態(tài)代碼編程06-27