關于清除J2EE框架Apache Struts2漏洞

的緊急通知

各互聯網數據中心：

3月7日，我分局在工作中掌握到目前主流應用開發平台J2EE的Apache Struts2框架存在可執行遠程代碼的嚴重漏洞，Struts2官方已經确認該漏洞(漏洞編号S2-045)，并定級爲高危漏洞。爲全面清除相關漏洞隐患給我市互聯網空間帶來的網絡安全風險，請各互聯網數據中心立即針對該漏洞開展技術檢測及漏洞修補工作。

一、Struts2漏洞描述

（一）漏洞信息。此次Struts2漏洞是基于Jakarta plugin插件的Struts遠程代碼執行漏洞，該漏洞可造成RCE遠程代碼執行，漏洞利用無任何限制條件，且可繞過絕大多數的防護設備的通用防護策略，惡意用戶可在上傳文件時通過修改HTTP請求中的Content-Type值來觸發該漏洞，從而執行系統命令，造成系統被遠程控制，導緻數據洩露、網頁篡改、後門植入、成爲肉雞等後果。

（二）影響範圍。由于此前Struts2曾發現編号爲S2-016的安全漏洞，國内外絕大多數網站現已更新S2-016漏洞補丁，而本次漏洞在S2-016補丁後的版本均會受到影響，具體受影響的軟件版本爲Struts 2.3.5 - Struts2.3.31以及Struts2.5 - Struts 2.5.10。

（三）檢測方法。一是查看web目錄/WEB-INF/lib/下的struts-core.x.x.jar版本信息,如果版本在Struts2.3.5 到Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞隐患；二是第三方掃描檢測方式，使用webscan等具有網站深度爬行功能的檢測軟件，進行專項深度漏洞掃描。（不可使用在線一鍵式檢查小工具）

（四）修複方法。一是删除commons-fileupload-x.x.x.jar文件（可能導緻網站的上傳功能或其他應用無法正常使用）或更新Struts2版本至Struts 2.3.32、Struts 2.5.10.1；二是部署專業的WAF、APT等安全産品并确保規則庫已經升級到最新版本。

2017年3月29日