聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
上周五,GitHub平台上出现了两个 Apache Struts 2 漏洞的PoC,可导致远程代码执行和拒绝服务攻击。
美国网络安全和基础设施安全局 (CISA) 发布了关于这两个漏洞(CVE-2019-0230 和 CVE-2019-0233)的安全警告。它们影响 Apache Struts 版本2.0.0至2.5.20。Apache Struts 安全团队指出,修复方案是更新至 Struts 2.5.22。
Struts 2 是供企业开发人员使用的开源编码框架和库,颇受创建基于 Java 的应用的开发人员和企业的欢迎。这两个可利用的漏洞已在去年11月修复。
研究人员警告使用 Apache Struts 2 过时版本的人员称,如果不修复这两个漏洞,则可导致出现类似于 Equifax 数据泄露事件根因漏洞(Apache Struts 2 缺陷:CVE-2017-5638)的更多严重漏洞。
PoC 已在 GitHub 发布
上周发布的 PoC 引发人们对 CVE-2019-0230 的担忧。该漏洞由苹果信息安全部门的 Matthias Kaiser 发现,最初被评估为“重要”级别。安全公告指出,当威胁行动者发送恶意 Object-GraphNavigation Language (OGNL) 正则表达式时就会触发该漏洞,之后该正则表达式可造成远程代码执行攻击。OGNL 是 Java 语言,可导致攻击者访问数据对象,之后创建并注入服务器端代码。
美国互联网安全中心多州信息共享和分析中心发布安全公告指出,“成功利用其中最严重漏洞 (CVE-2019-0230) 可导致在受影响应用程序上下文中远程执行代码。根据和该应用程序相关联的权限,攻击者能够安装程序,查看、更改或修改数据,或者以完整的用户权限创建新账户。”
虽然 GitHub上发布的PoC攻击和利用针对的是 CVE-2019-0230,但 Apache Struts 安全团队也督促用户修复 DoS 漏洞 (CVE-2019-0233)。该漏洞影响文件目录的写入权限,可导致成熟的 DoS 攻击条件。
从 Apache Struts 2 发布的说明来看,该缺陷可通过向暴露文件的Strut Action 上传文件而遭触发,“攻击者可操纵该请求,以便将所上传文件的工作拷贝设为只读。结果,该文件的后续动作将出现错误从而失败。也可能将 Servlet 容器的临时目录设置为只读,以便使后续的上传动作失败。”
Apache 安全通告建议更新至 Apache Struts 的最新版本,同时建议安全团队在应用补丁前验证系统上未出现越权系统修改行为,同时以非权限用户(不具有管理员权限)身份运行所有软件,减少成功攻击造成的影响。
推荐阅读
2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts
Apache Struts 2 开源开发框架中出现严重漏洞 可导致远程代码执行
原文链接
https://threatpost.com/poc-exploit-github-apache-struts/158393/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~