关于Apache Struts2存在高危漏洞的安全通报

3月7日，据国家网络与信息安全信息通报中心监测发现，Apache Struts 2软件存在远程命令执行高危漏洞，Struts2官方已经确认该漏洞，漏洞编号为CVE-2017-5638。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架，并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称，包括很多子项目。Struts就是jakarta的紧密关联项目。

基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获，并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值，可通过精心构造附带OGNL表达的URL导致远程代码执行。

此漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞，因此有较多升级后的Apache struts2的版本为2.3.5及以上版本，极有可能受到漏洞的影响。

二、漏洞影响范围

受漏洞影响的版本为：Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13时，互联网上已经公开了漏洞的攻击利用代码，同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。互联网上采用Apache Struts 2框架的网站（覆盖政府、高校、企业）受影响比例为60.1%。

三、漏洞处置建议

Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。除了升级struts版本外，为有效防护漏洞攻击，建议用户采取主动检测、网络侧防护的方法防范黑客攻击：

漏洞修复地址为：https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage