阿里云主机

万维景盛

万维景盛官网
  • q***209 16:57:44 续费 虚机:domcom
  • q***867 16:25:14 购买 卡密:BaCodeB
  • a***jia 13:12:19 下单 虚机:HCU1
  • q***867 11:36:58 购买 卡密:BaCodeB
  • 2***582 11:19:58 续费 虚机:domcom
  • q***867 11:13:45 购买 卡密:BaCodeB
  • a***jia 10:40:19 下单 虚机:HCU1
  • a***jia 10:34:19 下单 虚机:HCU1
  • q***867 10:08:02 购买 卡密:BaCodeB
  • q***556 9:34:31 下单 虚机:HCN0
  • q***556 9:30:20 下单 虚机:HCU1
  • q***556 9:18:36 下单 虚机:HCU1
  • c***ost 22:04:54 续费 虚机:HCU0
  • c***ost 22:04:52 续费 虚机:HCU0
  • c***ost 22:04:50 续费 虚机:HCU0
  • c***ost 22:04:47 续费 虚机:HCU0
  • c***ost 22:04:44 续费 虚机:HCU0
  • c***ost 22:04:42 续费 虚机:HCU0
  • c***ost 22:04:30 续费 虚机:HCU0
  • z***.sc 21:24:48 create 虚机:SDV0
阿里云发布最新Apache Struts远程代码执行漏洞(CVE-2016-1000031)

近日,Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告,其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031,而2.3.x系列版本的Apache Struts2仍在使用低版本的Commons FileUpload库,该库作为Struts2的一部分,被用作文件上传的默认机制,远程攻击者利用该漏洞可直接获得服务器权限。2.5.12以上版本的Struts2暂不受影响。

阿里云安全应急响应中心及时监测到Apache Struts发布的这个安全更新,以解决低版本的Commons FileUpload库带来的远程反序列化代码执行漏洞,万维景盛安全工程师建议客户尽快更新Commons FileUpload依赖库到最新的发行版本。


影响范围

Apache Struts 2.3.36及之前的版本


风险评级

CVE-2016-1000031:严重


安全建议

方案一:

升级至2.5.18及以上版本的Struts2,官方下载链接:https://struts.apache.org/download.cgi

方案二:

升级Struts2依赖的Commons FileUpload库版本至最新1.3.3,官方下载地址:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

方案三:

针对Maven的项目可直接修改pom.xml配置文件如下并重构项目:

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>



阿里云云盾态势感知应急漏洞模块已支持对该漏洞一键检测,详情登陆云盾控制台


相关链接

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E


如需要购买阿里云云盾、云防火墙、态势感知等安全服务,万维景盛提供优惠代购阿里云产品服务,欢迎垂询页面底部或右侧客服!



万维网

2018.12.3


会员 客服 充值 工单
Top

客服热线

010-57180806

18610695105

客服QQ

请拨总机 010-57180806

咨询售后问题建议 提交工单