【漏洞预警】 Apache Struts2 REST插件DoS漏洞CVE-2018-1327 S2-056 2.1.1至2.5.14.1受影响
【漏洞预警】 Apache Struts2 REST插件DoS漏洞CVE-2018-1327 S2-056 2.1.1至2.5.14.1受影响
“筛子漏洞”又来了! Apache Struts2 REST插件又爆 DoS漏洞 ,CVEID CVE-2018-1327,S2-056 2.1.1至2.5.14.1受影响,漏洞发生于Struts 2 REST插件,目前未公布漏洞详情和利用方法,请尽快升级到Struts 2.5.16。
CVE-2018-1327漏洞概要
针对CVE-2018-1327漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-1327涉及厂商、CVE-2018-1327漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。
CVE-2018-1327漏洞相关链接
百度链接:https://www.baidu.com/s?wd=CVE-2018-1327
绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
SecurityFocus链接:https://www.securityfocus.com/bid/103516
CVE链接:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1327
Apache官方链接:https://cwiki.apache.org/confluence/display/WW/S2-056
Redhat链接:https://access.redhat.com/security/cve/cve-2018-1327
CVE评价该漏洞
Apache Struts REST 插件使用的XStream库有漏洞,攻击者通过进行构造的XML Payload可以实施DoS攻击。 Upgrade to the Apache Struts version 2.5.16 and switch to an optional Jackson XML handler as described here http://struts.apache.org/plugins/rest/#custom-contenttypehandlers. Another option is to implement a custom XML handler based on the Jackson XML handler from the Apache Struts 2.5.16.
Apache评价该漏洞
在使用Struts插件插件时,一个精心制作的XML请求,可以让攻击者实施DoS攻击。
绿盟科技评价该漏洞
S2-056漏洞发生于 Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程 DoS攻击 。
SecurityFocus评价该漏洞
Apache Struts DoS漏洞 CVE-2018-1327
Apache Struts容易出现拒绝服务漏洞。攻击者可以利用此问题导致拒绝服务状态,拒绝向合法用户提供服务。 Apache Struts 2.1.1到2.5.14.1受影响。
| Bugtraq | ID: 103516 |
|---|---|
| Class: | Failure to Handle Exceptional Conditions |
| CVE: | CVE-2018-1327 |
| Remote: | Yes |
| Local: | No |
| Published: | Mar 27 2018 12:00 AM |
| Updated: | Mar 27 2018 12:00 AM |
| Credit: | Yevgeniy Grushka & Alvaro Munoz from HPE |
| Vulnerable: | Apache Struts 2.5.14 Apache Struts 2.3.31 Apache Struts 2.3.30 Apache Struts 2.3.28 Apache Struts 2.3.24 Apache Struts 2.3.5 Apache Struts 2.3.4 1 Apache Struts 2.3.4 Apache Struts 2.2.3 Apache Struts 2.2.1 1 Apache Struts 2.2 Apache Struts 2.1.1 Apache Struts 2.1.1 Apache Struts 2.5.14.1 Apache Struts 2.5.13 Apache Struts 2.5.12 Apache Struts 2.5.11 Apache Struts 2.5.10.1 Apache Struts 2.5.10 Apache Struts 2.5.1 Apache Struts 2.3.8 Apache Struts 2.3.7 Apache Struts 2.3.34 Apache Struts 2.3.33 Apache Struts 2.3.32 Apache Struts 2.3.29 Apache Struts 2.3.28.1 Apache Struts 2.3.24.3 Apache Struts 2.3.24.2 Apache Struts 2.3.24.1 Apache Struts 2.3.20.3 Apache Struts 2.3.20.2 Apache Struts 2.3.20.1 Apache Struts 2.3.20 Apache Struts 2.3.16.3 Apache Struts 2.3.16.2 Apache Struts 2.3.16.1 ApacheStruts 2.3.16 Apache Struts 2.3.15.3 Apache Struts 2.3.15.2 Apache Struts 2.3.15.1 Apache Struts 2.3.15 Apache Struts 2.3.14.3 Apache Struts 2.3.14.2 Apache Struts 2.3.14.1 Apache Struts 2.3.14 Apache Struts 2.3.1.2 Apache Struts 2.3.1.1 Apache Struts 2.3.1 Apache Struts 2.2.3.1 |
| Not Vulnerable: | Apache Struts 2.5.16 |
CVE-2018-1327漏洞影响范围
CVE-2018-1327漏洞涉及厂商
Apache Struts2
CVE-2018-1327漏洞涉及产品
Apache Struts2 REST插件
CVE-2018-1327漏洞影响版本
S2-056 2.1.1至2.5.14.1受影响
Apache声明
Upgrade to the Apache Struts version 2.5.16 and switch to an optional Jackson XML handler as described here . Another option is to implement a custom XML handler based on the Jackson XML handler from the Apache Struts 2.5.16.
绿盟科技声明
Apache Struts官方在新版本2.5.16版本中针对S2-056漏洞进行了防护,建议应用 Apache Struts2 REST插件的用户排查框架版本是否受漏洞影响,及时升级框架并替换XML解析器为Jackson XML处理类JacksonXmlHandler。
1.登录到官网的下载页面,下载 Apache Struts 2.5.16,并升级应用框架:
http://struts.apache.org/download.cgi
2.除Struts 2框架依赖包外,还需要引入Jackson组件的相关依赖包,如:
3.在应用系统的struts.xml配置文件中配置xml解析器为Struts 2.5.16版本提供的JacksonXmlHandler类。示例如下:
然后配置struts.properties文件中,使自定义的xml处理器覆盖框架默认解析器。示例如下:
struts.rest.handlerOverride.xml=myXml
官方通告如下
https://cwiki.apache.org/confluence/display/WW/S2-056
声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表深圳汇安科技立场,转载目的在于传递更多信息。如有侵权,请联系 13570058253@139.com。