Struts2 S2-045 漏洞 (CVE-2017-5638)
S2-045的漏洞可以導致網站資料外洩、被植入木馬程式等風險
影響範圍:Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10
建議升級:Struts 2.3.32 或 Struts 2.5.10.1
Struts使用的Jakarta解析文件上傳請求包不當,當遠程攻擊者構造惡意的Content-Type,可能導致遠程命令執行。
實際上在default.properties文件中,struts.multipart.parser的值有兩個選擇,
分別是jakarta和pell(另外原本其實也有第三種選擇cos)。
其中的jakarta是Struts 2框架的標準組成部分。默認情況下jakarta是啟用的,
所以該漏洞的嚴重性需要得到正視。
【漏洞預警】Apache Struts2 曝任意代碼執行漏洞(S2-045,CVE-2017-5638)
http://www.freebuf.com/vuls/128668.html
Apache S2-045
https://cwiki.apache.org/confluence/display/WW/S2-045
str2-045漏洞指南【附有POC和EXP】
http://bbs.ichunqiu.com/thread-19964-1-1.html
傳說中的s2-045利用工具來了
http://bbs.ichunqiu.com/thread-19963-1-1.html
pip install poster poc和exp源碼
http://bbs.ichunqiu.com/thread-19964-1-1.html
Apache Struts2再度爆發高風險漏洞,HITCON Zeroday通報:已有臺灣金融業者受駭
http://www.ithome.com.tw/news/112591
str2-045漏洞的加固方案
http://bbs.ichunqiu.com/thread-19971-1-1.html
Strurs2又現高危漏洞(附Poc&Exp)
http://www.ijiandao.com/safe/cto/46798.html
S2-045 原理初步分析(CVE-2017-5638)
http://paper.seebug.org/241/
關於Apache Struts2存在S2-045遠程代碼執行漏洞的安全公告
http://www.cnvd.org.cn/webinfo/show/4080
TDOHacker 成立於 2013 年中,是當時一群對資安極具熱情的學生們所創立,期望利用社群的方式來推廣資訊安全、增加技術交流、改善台灣資安學習環境等。目前依舊耕耘著台灣資安人才培育的土壤,並且在全台各地與多所大專院校都有相關合作經驗和人手,是一個初具規模全國性校園資安社群。
2024年 4月份資安、社群活動分享
2024年 4月份資安、社群活動分享 Secure Code Warrior 線上學資安 - April 2024/4/1 https://www.accupass.com/event/2403250331191212148665 Self-Taught Coding Tu...
-
2023年 12月份資安、社群活動分享 零信任身份認證與存取控管 2023/12/1 https://web.tabf.org.tw/page/407020/course11.htm 線上資安專題講座-以攻擊策略演練角度協助企業評估、強化與呈現資安投資成效 2023/12/... -
資安事件新聞週報 2019/9/30 ~ 2019/10/4 1.重大弱點漏洞/後門/Exploit/Zero Day 思科產品多個漏洞 https://tools.cisco.com/security/center/publicationListing.x ... -
2024年 3月份資安、社群活動分享 線上資安人力需求對談-網路通信產業 2024/3/2 https://isipevent.kktix.cc/events/ff6f2146 2024H1資安實戰演練大會AI爆發時代的企業資安聯合軍演 2024/3/6 https://b...
沒有留言:
張貼留言