【安全通告】OpenSSL 拒绝服务漏洞风险公告(CVE-2020-1971)
摘要:
2020-12-08 15:53:18
尊敬的腾讯云用户,您好!
2020年12月8日,腾讯云安全运营中心监测到,Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞,CVE编号:CVE-2020-17530。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。据官方描述,如果开发人员在解析%{…}等标签时强制使用OGNL evaluation,则某些标签的属性可能会执行double evaluation,从而可能使不受信任的用户输入导致远程代码执行等安全风险。
风险等级
高
漏洞风险
漏洞被利用可能导致远程代码执行。
影响版本
Struts 2.0.0 - Struts 2.5.25
安全版本
Struts 2.5.26及更高版本
修复建议
1)避免不受信任的用户输入使用强制OGNL evaluation
2)升级到Struts 2.5.26及更高版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
检测与防护
目前腾讯T-Sec主机安全(云镜)已支持对 Struts 远程代码执行漏洞(CVE-2020-17530)进行检测;
腾讯T-Sec云防火墙入侵防御功能已支持对Struts 远程代码执行漏洞(CVE-2020-17530)利用进行检测和拦截;
腾讯 T-Sec Web应用防火墙已支持防护Struts 远程代码执行漏洞(CVE-2020-17530);
漏洞参考
https://cwiki.apache.org/confluence/display/WW/S2-061
