Apache Struts2 作為世界上最流行的 Java Web 服務(wù)器框架之一，3 月 7 日帶來了本年度第一個(gè)高危漏洞——CVE編號(hào) CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以在使用該插件上傳文件時(shí)，修改 HTTP 請(qǐng)求頭中的 Content-Type 值來觸發(fā)該漏洞，導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

哪些網(wǎng)站已中招

Struts 作為一個(gè)“世界級(jí)”開源架構(gòu)，它的一個(gè)高危漏洞危害有多大，下面兩張圖可以讓大家對(duì)這個(gè)漏洞的影響范圍有一個(gè)直觀認(rèn)識(shí)。

 【全球互聯(lián)網(wǎng)上開放的Apache Struts分布】

【中國(guó)互聯(lián)網(wǎng)上開放的Apache Struts分布】

雷鋒網(wǎng)從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個(gè)小時(shí)的時(shí)間里，大量用戶第一時(shí)間通過綠盟云的 Structs2 緊急漏洞檢測(cè)服務(wù)對(duì)自己的網(wǎng)站進(jìn)行檢測(cè)，共計(jì) 22000 余次。

通過對(duì)這些數(shù)據(jù)進(jìn)行分析，可以看到：

1、從檢測(cè)數(shù)據(jù)來看，教育行業(yè)受Struts2漏洞影響最多，其次是政府、金融、互聯(lián)網(wǎng)、通信等行業(yè)。

綠盟科技威脅情報(bào)中心（ NTI ） 通過對(duì)檢測(cè)出漏洞的頁面逐一訪問，去掉一些無法訪問的頁面后，按照行業(yè)進(jìn)行了分類，其中，教育行業(yè)數(shù)量最多占23%，其次是政府占19%，金融占17%，互聯(lián)網(wǎng)占10%，通信行業(yè)占3%以及其他行業(yè)領(lǐng)域占27%。 

2、從地域來看，北、上、廣、沿海城市等經(jīng)濟(jì)發(fā)達(dá)地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時(shí)修復(fù)情況也最及時(shí)。

從檢測(cè)頁面的地域分布上看，北京最積極占22%，其次是廣東9.8%，浙江8.2%，上海7.8%，福建4.9%。從最終的檢測(cè)結(jié)果來看，這也符合“多檢多得”的排序，北京檢出漏洞頁面數(shù)量最多占23.6%（符合首都政治教育中心的定位），廣東13.7%，浙江10.4%，上海7.9%，福建7.3%。

3、從應(yīng)對(duì)漏洞積極性來說，金融、政府、教育位列前三甲。

雷鋒網(wǎng)了解到，應(yīng)對(duì)本次 Struts2 漏洞，金融行業(yè)應(yīng)急反應(yīng)最為迅速，在漏洞爆發(fā)后采取行動(dòng)也是最迅速的，無論是自行升級(jí)漏洞軟件還是聯(lián)系廠商升級(jí)防護(hù)設(shè)備都走在其他行業(yè)前列，很多金融行業(yè)站點(diǎn)在幾個(gè)小時(shí)之內(nèi)再次掃描時(shí)已經(jīng)將漏洞修補(bǔ)完成。

檢測(cè)與修復(fù)方案

如果設(shè)備已經(jīng)檢測(cè)出存在Struts2漏洞，綠盟科技提出了以下三種解決方式：

1.官方解決方案

官方已經(jīng)發(fā)布版本更新，盡快升級(jí)到不受影響的版本（Struts 2.3.32或Struts 2.5.10.1），建議在升級(jí)前做好數(shù)據(jù)備份。

Struts 2.3.32 下載地址：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1下載地址：                          

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

2. 臨時(shí)修復(fù)方案

在用戶不便進(jìn)行升級(jí)的情況下，作為臨時(shí)的解決方案，用戶可以進(jìn)行以下操作來規(guī)避風(fēng)險(xiǎn)：

在WEB-INF/classes目錄下的struts.xml 中的struts 標(biāo)簽下添加<constant name=”struts.custom.i18n.resources” value=”global” />；在WEB-INF/classes/ 目錄下添加 global.properties，文件內(nèi)容如下：

struts.messages.upload.error.InvalidContentTypeException=1。

 

配置過濾器過濾Content-Type的內(nèi)容，在web應(yīng)用的web.xml中配置過濾器，在過濾器中對(duì)Content-Type內(nèi)容的合法性進(jìn)行檢測(cè)：

 

3.技術(shù)解決方案

對(duì)于沒有網(wǎng)絡(luò)防護(hù)設(shè)備的企業(yè)，可以使用專業(yè)廠商的防護(hù)設(shè)備進(jìn)行防護(hù)；或者使用專業(yè)安全廠商的針對(duì)性安全服務(wù)對(duì)已有業(yè)務(wù)進(jìn)行漏洞排查和修復(fù)。正在使用安全防護(hù)設(shè)備的企業(yè)，目前各大安全廠商都已經(jīng)推出針對(duì)該漏洞的緊急升級(jí)包，請(qǐng)及時(shí)升級(jí)已有防護(hù)設(shè)備的防護(hù)規(guī)則和檢測(cè)規(guī)則。

雷鋒網(wǎng)注：該文數(shù)據(jù)和圖表均由綠盟科技提供。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。