人人妻人人澡人人爽人人精品电影,日本孕妇孕交videostv,18成禁人看免费无遮挡床震,人乳喂奶HD无中字

安全公告編號:CNTA-2016-0017

4月26日，互聯網上披露了Apache Struts 2 S2-032遠程代碼執(zhí)行漏洞（CNVD-2016-02506，CVE-2016-3081 ）的利用代碼，根據CNVD初步測試，遠程攻擊者利用漏洞可在開啟動態(tài)方法調用功能的Apache Struts 2服務器上執(zhí)行任意代碼，取得網站服務器控制權。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級web應用框架，并成為當時國內外較為流行的容器軟件中間件。Struts 2的核心jar包-struts2-core中，存在一個default.properties的默認配置文件用于配置全局信息，當struts.enable.DynamicMethodInvocation= true，即開啟動態(tài)方法調用。盡管在Struts2目前的安全策略中，對部分動態(tài)調用方法進行了特殊字符傳遞的限制，但在該漏洞中攻擊者仍能通過通過OGNL表達式靜態(tài)調用獲取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS屬性并覆蓋_memberAccess的方式進行繞過，進而可在受控制的服務器端執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響Struts 2.3.20 -2.3.28 (除2.3.20.3和2.3.24.3以外)版本，同時攻擊利用代碼已經在互聯網上快速傳播。目前，對于默認開啟動態(tài)方法調用功能的ApacheStruts2 服務器比例還需要進一步評估。根據國內民間漏洞報告平臺的信息報送情況，目前已經出現涉及銀行、保險行業(yè)單位以及大型互聯網增值電信企業(yè)的信息系統受漏洞影響的案例報告。

三、漏洞修復建議

Apache Struts官方已發(fā)布了升級程序修復該漏洞，CNVD建議用戶升級至struts 2.3.20.3，2.3.24.3，2.3.28.1版本。更新地址：https://cwiki.apache.org/confluence/display/WW/Migration+Guide。未能及時升級的用戶也可通過如下參數設置關閉動態(tài)方法調用功能來規(guī)避該漏洞的攻擊威脅：<constantname=“struts.enable.DynamicMethodInvocation”value=“false”/> (注：由于動態(tài)方法調用涉及部分通配符功能，此操作暫不能完全確保用戶網站系統其他功能不受影響)。

附：參考鏈接：

http://struts.apache.org/docs/s2-032.html

http://seclab.dbappsecurity.com.cn/?p=924

http://www.cnvd.org.cn/flaw/show/CNVD-2016-02506