Apache服务Struts远程代码执行漏洞通知
据阿里云/万网通报,Struts又爆发远程代码执行漏洞了!在这次的漏洞中,Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行,攻击者可以通过操纵参数远程执行恶意代码。
如果存在漏洞,我该如何解决? 阿里云用户可以开启“网站安全防御(WAF)”拦截WEB漏洞。请登陆云盾控制台>>服务设置>>网站安全防御 进行设置,后台地址:http://yundun.aliyun.com/manage/details/detectnotifyconfig 附: 本次漏洞具体信息如下: CVE Identifier: CVE-2013-2251
http://struts.apache.org/release/2.3.x/docs
备注:使用apache+php的用户不受影响,影响仅限于apache+java的空间用户。非阿里云空间建议使用360防攻击系统。
442956988