Apache软件基金会(Apache Software Foundation)于周一(11/5)警告,特定版本的Struts 2采用了含有远端程序攻击漏洞的Commons FileUpload函数库,呼吁用户尽快更新。
Struts为一开源的Java网络应用程式框架,Commons FileUpload则是该框架所内建的档案上传机制,此编号为CVE-2016-1000031的漏洞存在于Commons FileUpload 1.3.2,早在2016年就被发现及修补。
根据漏洞的说明资讯,Commons FileUpload中有个Java物件在被反串行化时可写入或复制档案到任何磁盘,虽然该物件可单独使用,但也能在呼叫反串行化时整合ysoserial以上传及执行二进位文件。
然而,Apache在今年10月释出的Struts 2.3.36却仍然使用了内含漏洞的Commons FileUpload 1.3.2,而且更早之前的Struts 2.3.x版本也同样受到波及。
美国系统网络安全研究院(SANS Institute)指出,目前并没有简单的新版Struts可以修补此一漏洞,开发人员必须手动置换Commons FileUpload版本,只要下载Commons FileUpload 1.3.3并将它拖曳至WEB-INF /lib中,它就能取代旧版,若是基于Maven的专案,还得更新其相依性。
由于Struts并非唯一使用Commons FileUpload函数库的专案,因此SANS也建议开发人员最好检查所有的系统。
至于Apache软件基金会在9月推出的Struts 2.5.18则已经采用了安全的Commons FileUpload 1.3.3,而不受该漏洞的影响。
閱讀更多 IT情報局菊長 的文章
