云服务器
  • 晏宇云
  • 腾讯云CVM
  • 阿里云Ecs
  • 快云服务器
  • 橙云主机
  • 其他云服务器
物理服务器
  • 服务器租用
  • 服务器托管 待上线
  • 高防服务器
  • 站群服务器
  • 宿主机服务器
网络
  • 动态IP
  • 融合CDN 待上线
域名与网站
  • 域名注册
  • 云虚拟主机
关联代付
  • 腾讯云
  • 阿里云
  • 景安
公告/其他公告/Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)/

Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)

作者:嘉和数码  发布时间:2021-12-30 09:57:50  浏览次数:296

2020年8月13日,腾讯安全团队监测到 Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞,以及 S2-060 Struts 拒绝服务漏洞。

漏洞详情

Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。

  • S2-059 Struts 远程代码执行漏洞(CVE-2019-0230),在不规范的使用某些 tag 等情况下,可能存在 OGNL 表达式注入,从而引发远程代码执行漏洞。

  • S2-060 Struts 拒绝服务漏洞(CVE-2019-0233),使得在上传文件并对其进行操作的时候,造成拒绝服务漏洞攻击。

影响版本

Apache Struts 2.0.0 - 2.5.20

安全版本

Apache Struts >= 2.5.22

修复建议

根据漏洞相关信息,腾讯安全建议您:

  • 将 Apache Struts 框架升级至最新版本。

  • 使用腾讯云 Web 应用防火墙,腾讯云 Web 应用防火墙是基于 AI 的一站式 Web 安全解决方案。 S2-059 漏洞最典型的特征就是该漏洞会用到 OGNL 语言,在此之前腾讯安全技术团队针对 ONGL 表达式进行了定向攻坚,针对 OGNL 表达式的攻击进行了定向封堵,并集成到 Web 应用防火墙中,因此只要是根据 OGNL 表达式来攻击的漏洞,Web 应用防火墙都可以直接防御。
    同时腾讯云 Web 应用防火墙的智能引擎也针对 sql、xss 和命令执行等类型攻击进行智能防御,配合 AI 技术对未知的安全漏洞威胁进行合理有效的封堵,为业务保驾护航。

参考信息

官方公告信息: