• 基礎設施安全

  • 數據安全

  • 云計算安全

  • 工控安全

  • 物聯網安全

  • 信息技術應用創新

  • 全部產品

  • 全部解決方案

基礎設施安全


  • 政府

  • 運營商

  • 金融

  • 能源

  • 交通

  • 企業

  • 教育

  • 醫療

返回列表

【安全通告】Struts S2-059,S2-060安全漏洞 (CVE-2019-0230,CVE-2019-0233)

2020-08-14

發布時間:2020年8月13日

綜述

北京時間8月13日,Struts官方發布新的安全通告,公布了2個安全漏洞:S2-059(CVE-2019-0230)是一個潛在的遠程代碼執行漏洞,S2-060(CVE-2019-0233)是一個拒絕服務漏洞。

這2個漏洞均已在2019年11月份發布的Struts 2.5.22版本中修復,建議未升級的用戶盡快升級進行防護。

通告鏈接:https://struts.apache.org/announce.html#a20200813

漏洞概述

l  S2-059

該漏洞(CVE-2019-0230)源于Apache Struts的框架在被強制使用時,會對標簽的屬性進行二次求值,這可能導致遠程代碼執行。只有在Struts標簽屬性中強制使用OGNL表達式時,才能觸發漏洞。

更多信息:https://cwiki.apache.org/confluence/display/ww/s2-059

l  S2-060

該漏洞(CVE-2019-0233)源于在上傳文件時,攻擊者可以通過一個特別的請求造成訪問權限的錯誤,從而導致上傳操作失敗,造成拒絕服務攻擊。

更多信息:https://cwiki.apache.org/confluence/display/ww/s2-060

受影響產品版本

l  Struts 2.0.0 - Struts 2.5.20

不受影響版本

l  Struts version >=  Struts 2.5.22

解決方案

Struts官方已經發布了新版本修復了上述漏洞,請受影響的用戶盡快升級進行防護。

若不方便升級的用戶,可以參考Struts官方提供的緩解措施:

l  S2-059

1.   將輸入參數的值重新分配給某些Struts的標簽屬性時,請始終對其進行驗證。

2.   考慮激活Proactive OGNL Expression Injection Protection。

參考鏈接:https://cwiki.apache.org/confluence/display/ww/s2-059

l  S2-060

在struts-default.xml文件中,找到struts.excludedPackageNames常數,并將jave.io.以及java.nio.添加到其屬性中。

參考鏈接:https://cwiki.apache.org/confluence/display/WW/S2-060

 

聲 明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技

綠盟科技集團股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國內外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

綠盟科技集團股份有限公司于2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票代碼:300369。

<<上一篇

【安全通告】微軟發布8月補丁修復120個安全問題

>>下一篇

綠盟科技威脅情報周報(2020.07.20-2020.07.26)
?

您的聯系方式

*姓名
*單位名稱
*聯系方式
*驗證碼
提交到郵箱

購買熱線

  • 購買咨詢:

    400-818-6868-1

  • 服務熱線:

    010-68438880-5069

  • 投訴專線:

    010-59610080

提交項目需求

歡迎加入綠盟科技,成為我們的合作伙伴!
  • *請描述您的需求
  • *最終客戶名稱
  • *項目名稱
  • 您感興趣的產品
  • 項目預算
您的聯系方式
  • *姓名
  • *聯系電話
  • *郵箱
  • *職務
  • *公司
  • *城市
  • *行業
  • *驗證碼
  • 提交到郵箱

微博

微信

服務熱線

400-818-6868

服務時間

7*24小時

? 2020 NSFOCUS 綠盟科技 www.nsfocus.com All Rights Reserved . 京公網安備 11010802021605號 京ICP備14004349號 京ICP證110355號

每天读点故事如何赚钱 000046股票行情 下载500彩票app 北京快三怎么玩稳赚 配资网 浙江61开奖结果 快乐十分前三直选方法 南华期货配资 安徽快三推荐预测分析 黑龙江p62走势振幅图 海南飞鱼开奖结果