• 案例资质

  • 成功案例
  • 荣誉资质
  • 招贤纳士

  • 联系我们

  • 联系我们
  • 联系人: 侯女士 

    电 话: 025-58630787

    邮 箱: 81561919@qq.com 

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层



  • betway必威体育_betway必威官方_必威体育娱乐|下载首页
    2016-7-13
    来源:freebuf
    点击数: 6476          作者:江苏betway必威官方
  • 上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。

    当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

    3897987981.jpg

    什么是devMode?

    所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的betway必威体育问题,需要尽快修复。

    影响范围:

    当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

    修复方案:

    关闭devMode:在struts.xml 设置

    <constant name="struts.devMode" value="false" />

    Refer:

    豆瓣:http://t.cn/R5kzw3t

    启明:http://t.cn/R5kzzEf

    在线检测

    目前网藤风险感知系统(crs.vulbox.com)已支持该漏洞检测。您可以免费申请试用网藤漏洞感知服务。 

  • 版权所有 Copyright(C)2009-2013 江苏betway必威官方计算机技术有限公司 苏ICP备16029720号

  • 返回顶部