Apache Struts2 再曝高危漏洞

2016-04-30

除了关注与修复,Struts2用户还有更好的选择吗


云盾—Web应用防火墙率先拦截该漏洞。用户不需要任何操作,Web应用防火墙可直接拦截此漏洞的攻击代码。



云盾Web应用防火墙是什么?


云盾Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力实现,通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,过滤海量恶意访问,避免用户的网站资产数据泄露,保障网站的安全与可用性。


Web应用防火墙从2013年开始集团内部使用,经历双11考验(支撑912亿交易),2015年集成进入高防,2016年4月正式为用户提供高品质服务!


Web应用防火墙拥有淘宝、支付宝同级别安全防护能力,支持0day防护!


值得一提的是非阿里云主机同样可以享有Web应用防火墙强大的防护能力!



漏洞分析


1.漏洞发布日期



2016年4月26日


2.目前受影响版本



Struts 2.3.18 - Struts2.3.28 (2.3.20.2和2.3.24.2除外)

3.漏洞描述



Struts2在开启动态方法调用的情况下,会被攻击者实现远程代码执行攻击。

 

http://struts.apache.org/docs/s2-032.html



4.建议修复方案



1、云盾Web应用防火墙服务可以拦截此漏洞的攻击代码,详情见:阅读原文。

如需接入支持,可联系阿里云WAF咨询电话:400-8265-980

 

2、目前官方已经推出了2.3.20.2、2.3.24.2和2.3.28.1修复这个问题,大家可以针对自己所使用的版本进行升级。下载地址:https://struts.apache.org/download.cgi#struts23281