:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
Apache Struts 2.3.X 系列版本中的 Showcase 應用程式存在允許攻擊者遠端執行任意程式碼之弱點(CVE-2017-9791),建議請儘速確認並進行修正!(2017/07/10)
 
詳細描述:
【弱點說明】

Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。

該弱點主要是在 Apache Struts 2.3.X 系列版本啟用 Struts 2 Struts 1外掛 (struct2-strust1-plugin.jar) 環境下, Showcase應用程式 (struct2-showcase.war)呼叫 struct2-strust1-plugin 時,攻擊者利用傳遞含有惡意字串的內容,造成可遠端執行任意程式碼。

【影響範圍】

  • Apache Struts 2.3.X 的版本

【建議措施】

  • 1.請確認網站主機是否使用 Apache Struts 2 的Web應用框架,若有使用則可再透過網站主機目錄中的「WEB-INFlib」資料夾內的Struts.jar檔確認當前使用的版本。
  • 2.請確認網站主機是否使用 Apache Struts 2的 Showcase應用程式,路徑:struts2.3.xappsstruts2-showcase.war。
  • 3.如所使用的 Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官方Github所釋出最新之 Apache Struts 2.5.10的版本。
  • 4.若無使用的需求,請關閉 Showcase應用程式。

【參考資料】

【更新紀錄】

  • v1.0 (2017/07/10):發佈事件通告。

 
 
下框