您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 漏洞公告

特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正

內容說明:

Apache Struts 2是一個開放原始碼的Java EE網站應用程式的Web應用框架。

該漏洞主要是Apache Struts 2負責處理檔案上傳封包的jakarta解析程式(Parser)存在弱點,讓遠端攻擊者可寄送含有惡意Content-Type或Content-Disposition數值的封包,或不正確的Content-Length Header封包,造成攻擊者可遠端執行任意程式碼,進而導致機敏資訊外洩等。

影響平台:

Apache Struts 2.3.5至2.3.31的版本
Apache Struts 2.5 至2.5.10的版本

建議措施:

1. 請確認網站主機是否使用Apache Struts 2的網頁應用框架,可透過檢查網站主機目錄中「WEB-INF\lib\」資料夾內的Struts2.jar檔,確認當前使用的版本。

2. 如所使用的Apache Struts 2為上述(2.3.5至2.3.31或2.5至2.5.10)受影響之版本,則請更新官方Github所釋出最新之Apache Struts 2.3.32或Struts 2.5.10.1的版本。

參考資料:

  1. https://cwiki.apache.org/confluence/display/WW/S2-045
  2. https://github.com/apache/struts/releases

 

Publish Date
2017/3/8 11:53:52