Categories


Tags


Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


Public @ 2019-03-12 15:44:42

什么样的老域名才算是优质的老域名?

优质的老域名通常具备一些以下特点: 1. 域名注册时间较为久远,至少在过去5年内注册; 2. 域名被搜索引擎收录的页面数量较多,表明该域名在历史上曾获得大量流量; 3. 域名外部链接数量丰富且链接质量高; 4. 域名相关的关键词搜索量较大,表明该域名与所涉及的领域/行业有较为密切的联系; 5. 域名的主体内容与所涉及的领域/行业相关联,具备良好的品牌价值和商业价值; 6. 域名使用过程中没有被惩

Public @ 2023-04-01 06:00:21

西部数码访问统计、流量解释(关键词:访问统计、流量总和、统计软件、robots.txt、蜘蛛、流量)

访问统计和流量总和是网站运营中常用的指标,用于了解网站的访问情况和流量产生情况。 访问统计通常是通过安装统计软件实现的,这些软件可以跟踪网站的日志,并对访问量、IP地址、浏览器、操作系统、访问来源等进行统计分析,并将结果以报表形式呈现。其中,访问来源是非常重要的指标,可以告诉我们网站的流量来源。 流量总和指的是网站在一段时间内的总访问量,一般以PV(页面浏览量)或UV(独立访客数)的方式表示。

Public @ 2023-04-24 14:00:18

cms系统是什么?为什么要做cms系统?

CMS (Content Management System) 是内容管理系统的缩写。它是一种基于 Web 的软件应用程序,用来创建、编辑、发布、管理和维护网站的各种内容。CMS 系统允许用户通过一个易于使用的图形界面进行管理,包括创建、编辑、发布网页、更改样式和布局、添加和删除功能等。CMS 系统广泛应用于企业网站、新闻网站、电子商务网站、社区网站等。 为什么要做 CMS 系统? 1. 降低

Public @ 2023-04-08 08:00:40

更多您感兴趣的搜索

0.608204s