::
關於我們
::
服務範圍
::
相關連結
::
 
 
2017 中文版 | 2017 English             2009 中文版 | 2009 English
學生 | 教職員工 | 單位   VPN
IP/網路 狀態查詢 . . .   
 
     
 

張貼日期:2016/04/29

轉發漏洞/資安訊息警訊

主旨:【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼

說明:

  1. 轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047
    根據美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2016-3081。[1][2]
    針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本,攻擊者可透過DefaultAction.java的invokeAction弱點,將惡意攻擊程式碼夾帶於Request中,允許攻擊者遠端執行任意程式碼。[3]
    請各單位檢視所支援的Apache Struts 2版本,儘速更新至最新版本。

  2. 影響平台:
    Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外) [4]

  3. 建議措施:
    Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞,請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本,請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]
    (1) 檢查是否使用Apache Struts 2 Web應用框架,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。
    (2) 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本,應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」,以停用Dynamic Method Invocation。[6]
    (3) 停用Dynamic Method Invocation參考設定如下:


計算機與通訊中心
網路系統組 敬啟

 
上一次變更:: 2016/04/29 11:46
 
     
   
FAIL: (the browser should render some flash content, not this).
FAIL: (the browser should render some flash content, not this).
::上一頁 | 下一頁 | 更新 | 列印 | 回首頁 | 清華大學 | 計算機與通訊中心
Copyright (c) 2008-2010 National Tsing Hua University ALL RIGHTS RESERVED
瀏覽次數:5189
 
 
關閉