CVE-2019-0230:ApacheStruts潜在的远程代码执行漏洞

阿帕契发布两份安全公告 解决潜在的远程代码执行漏洞 和拒绝服务漏洞公有概念代码证明

后台

8月13日 阿帕契发布安全公告解决ApacheStruts2版两个漏洞achestruts是一个开源模型-视图控制器框架,用于创建avaweb应用

分析

CVE-2019-0230强制双重对象段导航语言评价漏洞发生时Struts试图对标签属性内原用户输入进行评价攻击者可以通过将恶意OGNL表达式注入OGNL表达式内使用属性阿帕契表示,开发这种漏洞可能导致远程代码执行

阿帕契安全公告提供脆弱标签属性实例S2-059:

STruts2中 Apache赋予开发者使用强制双评价“确定标签属性 ” 的能力 。 Struts包含处理潜在注入表达式的减法, Apache表示Struts版本“2.5.22前保留攻击矢量开口 ”, 并称通过更新解决向Apache报告该漏洞Matthias凯泽脆弱研究者苹果

CVE-2019-023拒绝服务漏洞因文件上传存取权限重置显示S2-060安全公告,攻击者可能在文件上传操作中修改请求,结果上传文件集只读访问文件上传后,文件上的任何进一步动作都失败利用这一缺陷还可能导致随后文件上传操作失效,其中任一操作都可能导致拒绝受影响应用的服务条件DOS漏洞被发现后报告ApacheMitsui布桑安全指令公司向ApacheStruts团队提交多份脆弱性报告,包括S2-042并S2-021.

CVE2017-5638鬼

开发者与组织自然都对ApacheStruts新漏洞前景表示担忧归根结底 后遗症CVE2017-5638Apache Struts2中关键RCE漏洞引出最显著违反近代历史

CVE-2017-5638披露时被评为临界值,而CVE-2019-0230目前据Apache称被评为重要值CVSS评分发布时尚未分配,但CVE-2019-0230似乎不如2017年脆弱性那么关键但仍没有足够的资料说明在现实世界条件下这种脆弱性的潜在影响,但当然有必要谨慎处理这一缺陷。

概念证明

数例Github为CVE2019-0230需要实际有效载荷开发时 将因应用而异此外,应用开发方式需要允许攻击者向OGNL表达式内使用属性提供未经验证输入

Apache Struts RCE:S2-059/CVE-2019-0230https://t.co/m6z3jqRsj4

强制双OGNL评价,评价原用户输入标签属性时,可能导致远程代码执行pic.twitter.com/6JwZCozTeB

Henry Chen (@chybeta) 8月13日 2020

求解

Apache Struts2.0.0-2.5.20版本受CVE-2019-0230和CVE-2019-023ApacheStruts版本处理2.5.22.强烈鼓励开发者和网站所有者尽快升级为最新版本以CVE-2019-0230为例,Apache表示升级到2.5.22限制双重评价并关闭报告攻击向量的恶意效果

阿帕契语强力鼓励开发商避免使用原表达式语言类并代之以Struts标签他们的安全提示指南向开发者提供一套帮助性建议,说明如何最妥善保护应用,其中包括保护应用不受OGNL表达式注入攻击.

识别受影响的系统

可租插件列表识别此脆弱度来因为他们被释放

获取更多信息

• Apache StrutsS2-059CVE-2019-0230咨询
• Apache StrutsS2-060CVE-2019-023咨询
• ApacheStruts安全公告

加入腾布尔安全响应队房东社区

深入了解开云app充值 网络接触平台对现代攻击面进行整体管理

获取a免费30天审判Tenable.io漏洞管理