Categories


Tags


Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


Public @ 2019-03-12 15:44:42

SEOER新手需要学习编程吗?如何选择合适的CMS系统

作为一名SEOER新手,编程不是必须的,但有一定的编程基础会对SEO工作有帮助。编程技能可以帮助您更好地理解网站结构和代码,理解搜索引擎爬虫如何获取和分析网站内容,以及如何优化网站代码和内容以提高搜索引擎排名。 当选择CMS系统时,需要考虑以下几点: 1. 功能和特性:不同的CMS系统具有不同的功能和特性,需要根据自己的需求选择系统。例如,如果您需要一个电子商务网站,则需要选择具有完整电子商务

Public @ 2023-06-03 21:00:21

常见独立个人博客系统

1. WordPress:WordPress是最受欢迎的博客平台之一,具有丰富的插件、主题和可定制性。 2. Typecho:Typecho 是适用于个人博客的简单、精致、低延迟的开源博客程序。 3. Jekyll:Jekyll是一款基于Ruby开发的静态站点生成器,可用于个人博客、文档网站等网站搭建。 4. Octopress:Octopress 是一款基于Jekyll的静态站点生成器,提

Public @ 2023-04-23 17:00:26

CMS内容办理系统

CMS内容办理系统是一种用于管理和办理内容的系统。它可以帮助用户更高效地管理和处理各种内容,包括文档、图片、视频等。CMS内容办理系统通常具有以下功能:内容发布、编辑和更新;内容分类和标签管理;用户权限管理;搜索和过滤功能;多语言支持等。通过使用CMS内容办理系统,用户可以更方便地创建、修改和发布内容,提高工作效率,并确保内容的一致性和质量。

Public @ 2023-07-26 11:00:13

更多您感兴趣的搜索

0.392978s