开发者俱乐部
标题:
漏洞预警:Struts2 devMode导致远程代码执行漏洞
[打印本页]
作者:
shouwang
时间:
2016-8-10 08:16
标题:
漏洞预警:Struts2 devMode导致远程代码执行漏洞
上个月月中
Struts
2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过
这次的漏洞,发生在devMode模式下
——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。
当
Struts
2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
什么是devMode?
所谓的devMode模式,看名称也知道,是为
Struts
2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。
影响范围:
当
Struts
开启devMode时,该漏洞将影响
Struts
2.1.0–2.5.1,通杀
Struts
2所有版本。
修复方案:
关闭devMode:在struts.xml 设置
<constant name=
<span
class
=
"hljs-string"
>
"struts.devMode"
</span>
<span
class
=
"hljs-keyword"
>
value
</span>
=
<span
class
=
"hljs-string"
>
"false"
</span>
/>
欢迎光临 开发者俱乐部 (http://xodn.com/)
Powered by Discuz! X3.2
