近日，互聯(lián)網(wǎng)上披露了有關(guān)Apache Struts2 （S2-046）遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152）的情況。該漏洞與Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞原理相同，僅使用了不同的攻擊向量。目前，Apache官方已針對該漏洞發(fā)布安全公告，已通過升級方式修復(fù)Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞的用戶不在該漏洞影響范圍內(nèi)。國家信息安全漏洞庫（CNNVD）對此進(jìn)行了跟蹤分析，情況如下： 
  一、漏洞簡介
  Apache Struts是美國阿帕奇（Apache）軟件基金會負(fù)責(zé)維護(hù)的一個開源項目，是一套用于創(chuàng)建企業(yè)級Java Web應(yīng)用的開源MVC框架，主要提供兩個版本框架產(chǎn)品：Struts 1和Struts 2。  
  Apache Struts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CNNVD-201703-152，CVE-2017-5638）。該漏洞與Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞原理基本相同，均是由于上傳功能的異常處理函數(shù)沒有正確處理用戶輸入的錯誤信息，導(dǎo)致遠(yuǎn)程攻擊者可通過發(fā)送惡意的數(shù)據(jù)包，利用該漏洞在受影響服務(wù)器上執(zhí)行任意命令。
 　 二、漏洞危害
  攻擊者可通過發(fā)送惡意構(gòu)造的HTTP數(shù)據(jù)包利用該漏洞，在受影響服務(wù)器上執(zhí)行系統(tǒng)命令，進(jìn)一步可完全控制該服務(wù)器，造成拒絕服務(wù)、數(shù)據(jù)泄露、網(wǎng)站造篡改等影響。由于該漏洞利用無需任何前置條件（如開啟dmi，debug等功能）以及啟用任何插件，因此漏洞危害較為嚴(yán)重。
  三、修復(fù)措施
  目前，Apache官方已針對該漏洞發(fā)布安全公告，并且漏洞利用代碼已被公布在互聯(lián)網(wǎng)上，請受影響用戶及時檢查是否受該漏洞影響。另外，已通過升級方式修復(fù)了Apache Struts2 （S2-045）遠(yuǎn)程代碼執(zhí)行漏洞的用戶，不在該漏洞影響的范圍內(nèi)。
  【自查方式】
  用戶可查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar文件，如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。
  【升級修復(fù)】
  受影響用戶可升級版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影響。
  官方公告： https://cwiki.apache.org/confluence/display/WW/S2-046
  【臨時緩解】
  如用戶不方便升級，可采用官方發(fā)布的以供應(yīng)急使用的Jakarta插件版本，下載鏈接如下：
  https://github.com/apache/struts-extras
  或改用其他Multipart parser應(yīng)用，如Pell等，相關(guān)鏈接如下：
  https://cwiki.apache.org/confluence/display/S2PLUGINS/Pell+Multipart+Plugin
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。
  聯(lián)系方式: cnnvd@itsec.gov.cn