新技术论坛
搜索
查看: 708|回复: 0
打印 上一主题 下一主题

[漏洞信息] 漏洞预警:Struts2 devMode导致远程代码执行漏洞

[复制链接]
  • TA的每日心情
    无聊
    2016-7-18 08:29
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-8-10 08:16:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
            上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。
            Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
            
            什么是devMode?
            所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。
            影响范围:
            当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。
            修复方案:
            关闭devMode:在struts.xml 设置



            
    •                 <constant name=<span class="hljs-string">"struts.devMode"</span> <span class="hljs-keyword">value</span>=<span class="hljs-string">"false"</span> />

    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 18:32 , Processed in 0.124925 second(s), 18 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表