Struts2 s2-033漏洞修复方案
2016-10-25 10:19
267 查看
Struts 配置需要更改成: struts.enable.DynamicMethodInvocation 的值为 false或无该属性。
Apache官方发布安全公告(官方编号S2-033 http://struts.apache.org/docs/s2-033.html ),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。 同时国内安全厂商安恒发布公告《紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整》,通过分析安全公告中的修复版本根本对这个漏洞未做任何修补,即官方安全公告中的最新版修复是无效的。
完整修复方案:关闭动态方法调用:
鉴于Struts2近期连续多个漏洞,都是在开启动态方法调用的情况下造成的,为安全起见,产品线中均需关闭动态方法调用,若需开启,需走报备流程,经评估后才可发布。
测试方法:
1.使用记事本打开Struts2的配置文件Struts.xml,查看“struts.enable.DynamicMethodInvocation”的值;
2.struts.enable.DynamicMethodInvocation 的值为 false或无该属性
Apache官方发布安全公告(官方编号S2-033 http://struts.apache.org/docs/s2-033.html ),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。 同时国内安全厂商安恒发布公告《紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整》,通过分析安全公告中的修复版本根本对这个漏洞未做任何修补,即官方安全公告中的最新版修复是无效的。
完整修复方案:关闭动态方法调用:
鉴于Struts2近期连续多个漏洞,都是在开启动态方法调用的情况下造成的,为安全起见,产品线中均需关闭动态方法调用,若需开启,需走报备流程,经评估后才可发布。
测试方法:
1.使用记事本打开Struts2的配置文件Struts.xml,查看“struts.enable.DynamicMethodInvocation”的值;
2.struts.enable.DynamicMethodInvocation 的值为 false或无该属性
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- struts2 漏洞编号S2-045 升级方案 更换jar包清单
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- struts2 漏洞 S2-016、S2-017修补方案
- struts2 最新S2-016-S2-017漏洞通杀struts2所有版本及修复方法
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- struts2 最新漏洞 S2-016、S2-017修补方案
- Struts2 S2-016,S2-017远程代码执行漏洞解决,修复
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2再曝S2-021修复补丁高危漏洞s2-022,拦截不完的安全漏洞
- Struts2 高危漏洞修复方案 (S2-016/S2-017)
- Struts2 高危漏洞修复方案 (S2-016/S2-017)