加QQ81758415
快捷导航

Apache Struts2 REST插件DoS漏洞CVE-2018-1327 S2-056 2.1.1至2.5.14.1受影响

2018-3-28 08:00| 发布者: xlbck| 查看: 73| 评论: 0|原作者: xlbck

摘要: 漏洞发生于Struts 2 REST插件,攻击者通过进行构造的XML Payload可以实施DoS攻击,请尽快升级到Struts 2.5.16。绿盟科技及Apache官方发布漏洞预警通告。

“筛子漏洞”又来了!Apache Struts2 REST插件又爆 DoS漏洞 ,CVEID CVE-2018-1327,S2-056 2.1.1至2.5.14.1受影响,漏洞发生于Struts 2 REST插件,目前未公布漏洞详情和利用方法,请尽快升级到Struts 2.5.16。绿盟科技及Apache官方发布漏洞预警通告,相关信息如下

推荐阅读:

CVE-2018-1327漏洞概要

针对CVE-2018-1327漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-1327涉及厂商、CVE-2018-1327漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-1327漏洞标识

  • CVE ID:CVE-2018-1327
  • BUGTRAQ ID:103516
  • 漏洞涉及厂商漏洞库ID:【漏洞涉及厂商漏洞库ID】
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-1327漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-1327
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • SecurityFocus链接:https://www.securityfocus.com/bid/103516
  • CVE链接:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1327
  • Apache官方链接:https://cwiki.apache.org/confluence/display/WW/S2-056
  • Redhat链接:https://access.redhat.com/security/cve/cve-2018-1327

CVE-2018-1327漏洞描述

【增补中】

CVE评价该漏洞

Apache Struts REST 插件使用的XStream库有漏洞,攻击者通过进行构造的XML Payload可以实施DoS攻击。 Upgrade to the Apache Struts version 2.5.16 and switch to an optional Jackson XML handler as described here http://struts.apache.org/plugins/rest/#custom-contenttypehandlers. Another option is to implement a custom XML handler based on the Jackson XML handler from the Apache Struts 2.5.16.

Apache评价该漏洞

在使用Struts插件插件时,一个精心制作的XML请求,可以让攻击者实施DoS攻击。

绿盟科技评价该漏洞

S2-056漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程 DoS攻击

SecurityFocus评价该漏洞

Apache Struts DoS漏洞 CVE-2018-1327

Apache Struts容易出现拒绝服务漏洞。攻击者可以利用此问题导致拒绝服务状态,拒绝向合法用户提供服务。Apache Struts 2.1.1到2.5.14.1受影响。

Bugtraq ID: 103516
Class: Failure to Handle Exceptional Conditions
CVE: CVE-2018-1327
Remote: Yes
Local: No
Published: Mar 27 2018 12:00AM
Updated: Mar 27 2018 12:00AM
Credit: Yevgeniy Grushka & Alvaro Munoz from HPE
Vulnerable: Apache Struts 2.5.14
Apache Struts 2.3.31
Apache Struts 2.3.30
Apache Struts 2.3.28
Apache Struts 2.3.24
Apache Struts 2.3.5
Apache Struts 2.3.4 1
Apache Struts 2.3.4
Apache Struts 2.2.3
Apache Struts 2.2.1 1
Apache Struts 2.2
Apache Struts 2.1.1
Apache Struts 2.1.1
Apache Struts 2.5.14.1
Apache Struts 2.5.13
Apache Struts 2.5.12
Apache Struts 2.5.11
Apache Struts 2.5.10.1
Apache Struts 2.5.10
Apache Struts 2.5.1
Apache Struts 2.3.8
Apache Struts 2.3.7
Apache Struts 2.3.34
Apache Struts 2.3.33
Apache Struts 2.3.32
Apache Struts 2.3.29
Apache Struts 2.3.28.1
Apache Struts 2.3.24.3
Apache Struts 2.3.24.2
Apache Struts 2.3.24.1
Apache Struts 2.3.20.3
Apache Struts 2.3.20.2
Apache Struts 2.3.20.1
Apache Struts 2.3.20
Apache Struts 2.3.16.3
Apache Struts 2.3.16.2
Apache Struts 2.3.16.1
Apache Struts 2.3.16
Apache Struts 2.3.15.3
Apache Struts 2.3.15.2
Apache Struts 2.3.15.1
Apache Struts 2.3.15
Apache Struts 2.3.14.3
Apache Struts 2.3.14.2
Apache Struts 2.3.14.1
Apache Struts 2.3.14
Apache Struts 2.3.1.2
Apache Struts 2.3.1.1
Apache Struts 2.3.1
Apache Struts 2.2.3.1
Not Vulnerable: Apache Struts 2.5.16

CVE-2018-1327漏洞影响范围

CVE-2018-1327漏洞涉及厂商

Apache Struts2

CVE-2018-1327漏洞涉及产品

Apache Struts2 REST插件

CVE-2018-1327漏洞影响版本

S2-056 2.1.1至2.5.14.1受影响

CVE-2018-1327漏洞解决方案

【增补中】

Apache声明

Upgrade to the Apache Struts version 2.5.16 and switch to an optional Jackson XML handler as described here . Another option is to implement a custom XML handler based on the Jackson XML handler from the Apache Struts 2.5.16.

【增补中】

绿盟科技声明

Apache Struts官方在新版本2.5.16版本中针对S2-056漏洞进行了防护,建议应用Apache Struts2 REST插件的用户排查框架版本是否受漏洞影响,及时升级框架并替换XML解析器为Jackson XML处理类JacksonXmlHandler。

1.登录到官网的下载页面,下载Apache Struts 2.5.16,并升级应用框架:

http://struts.apache.org/download.cgi

2.除Struts 2框架依赖包外,还需要引入Jackson组件的相关依赖包,如:

<dependency>

<groupId>com.fasterxml.jackson.core</groupId>

<artifactId>jackson-core</artifactId>

</dependency>

<dependency>

<groupId>com.fasterxml.jackson.core</groupId>

<artifactId>jackson-databind</artifactId>

</dependency>

<dependency>

<groupId>com.fasterxml.jackson.dataformat</groupId>

<artifactId>jackson-dataformat-xml</artifactId>

<optional>true</optional>

</dependency>

3. 在应用系统的struts.xml配置文件中配置xml解析器为Struts 2.5.16版本提供的JacksonXmlHandler类。示例如下:

<bean name="myXml" type="org.apache.struts2.rest.handler.ContentTypeHandler" class=" org.apache.struts2.rest.handler.JacksonXmlHandler" />

然后配置struts.properties文件中,使自定义的xml处理器覆盖框架默认解析器。示例如下:

struts.rest.handlerOverride.xml=myXml

官方通告如下:

https://cwiki.apache.org/confluence/display/WW/S2-056

【增补中】

CVE-2018-1327漏洞安全加声明

本页信息用以描述CVE-2018-1327漏洞的信息,这些信息便于您对CVE-2018-1327漏洞进行快速阅读并了解相关信息。如下信息如有空缺,则CVE-2018-1327漏洞相关内容正在增补中,如果您知悉相关内容或者如下内容有异议,可以联系站长:安全加QQ:468215215;Weixin:gnaw0725

CVE-2018-1327漏洞相关内容

CVE-2018-1327漏洞相关漏洞

漏洞列表

CVE-2018-1327漏洞相关文章


鲜花

握手

雷人

路过

鸡蛋

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )