Apache Struts2 作為世界上最流行的 Java Web 服務器框架之一，3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在遠程代碼執(zhí)行漏洞，攻擊者可以在使用該插件上傳文件時，修改 HTTP 請求頭中的 Content-Type 值來觸發(fā)該漏洞，導致遠程執(zhí)行代碼。

哪些網(wǎng)站已中招

Struts 作為一個“世界級”開源架構，它的一個高危漏洞危害有多大，下面兩張圖可以讓大家對這個漏洞的影響范圍有一個直觀認識。

 【全球互聯(lián)網(wǎng)上開放的Apache Struts分布】

【中國互聯(lián)網(wǎng)上開放的Apache Struts分布】

雷鋒網(wǎng)從綠盟科技了解到，從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間里，大量用戶第一時間通過綠盟云的 Structs2 緊急漏洞檢測服務對自己的網(wǎng)站進行檢測，共計 22000 余次。

通過對這些數(shù)據(jù)進行分析，可以看到：

1、從檢測數(shù)據(jù)來看，教育行業(yè)受Struts2漏洞影響最多，其次是政府、金融、互聯(lián)網(wǎng)、通信等行業(yè)。

綠盟科技威脅情報中心（ NTI ） 通過對檢測出漏洞的頁面逐一訪問，去掉一些無法訪問的頁面后，按照行業(yè)進行了分類，其中，教育行業(yè)數(shù)量最多占23%，其次是政府占19%，金融占17%，互聯(lián)網(wǎng)占10%，通信行業(yè)占3%以及其他行業(yè)領域占27%。 

2、從地域來看，北、上、廣、沿海城市等經濟發(fā)達地區(qū)成為 Struts2 漏洞高發(fā)區(qū),與此同時修復情況也最及時。

從檢測頁面的地域分布上看，北京最積極占22%，其次是廣東9.8%，浙江8.2%，上海7.8%，福建4.9%。從最終的檢測結果來看，這也符合“多檢多得”的排序，北京檢出漏洞頁面數(shù)量最多占23.6%（符合首都政治教育中心的定位），廣東13.7%，浙江10.4%，上海7.9%，福建7.3%。

3、從應對漏洞積極性來說，金融、政府、教育位列前三甲。

雷鋒網(wǎng)了解到，應對本次 Struts2 漏洞，金融行業(yè)應急反應最為迅速，在漏洞爆發(fā)后采取行動也是最迅速的，無論是自行升級漏洞軟件還是聯(lián)系廠商升級防護設備都走在其他行業(yè)前列，很多金融行業(yè)站點在幾個小時之內再次掃描時已經將漏洞修補完成。

檢測與修復方案

如果設備已經檢測出存在Struts2漏洞，綠盟科技提出了以下三種解決方式：

1.官方解決方案

官方已經發(fā)布版本更新，盡快升級到不受影響的版本（Struts 2.3.32或Struts 2.5.10.1），建議在升級前做好數(shù)據(jù)備份。

Struts 2.3.32 下載地址：https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1下載地址：                          

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

2. 臨時修復方案

在用戶不便進行升級的情況下，作為臨時的解決方案，用戶可以進行以下操作來規(guī)避風險：

在WEB-INF/classes目錄下的struts.xml 中的struts 標簽下添加<constant name=”struts.custom.i18n.resources” value=”global” />；在WEB-INF/classes/ 目錄下添加 global.properties，文件內容如下：

struts.messages.upload.error.InvalidContentTypeException=1。

 

配置過濾器過濾Content-Type的內容，在web應用的web.xml中配置過濾器，在過濾器中對Content-Type內容的合法性進行檢測：

 

3.技術解決方案

對于沒有網(wǎng)絡防護設備的企業(yè)，可以使用專業(yè)廠商的防護設備進行防護；或者使用專業(yè)安全廠商的針對性安全服務對已有業(yè)務進行漏洞排查和修復。正在使用安全防護設備的企業(yè)，目前各大安全廠商都已經推出針對該漏洞的緊急升級包，請及時升級已有防護設備的防護規(guī)則和檢測規(guī)則。

雷鋒網(wǎng)注：該文數(shù)據(jù)和圖表均由綠盟科技提供。

雷峰網(wǎng)原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。