保护方案 Apache Struts2远程代码执行漏洞

Apache在2018年8月22日北京时间发布的官方公告中宣布了Struts2中的远程代码执行漏洞（CVE-2018-11776、CNVD-2018-15894、CNNVD-201808-740）。

首先，当在XML配置中没有设置名称空间值，并且通配符名称空间值没有在操作（s）配置中设置或使用时，可能出现远程代码执行漏洞。

第二，使用没有值和动作值的URL标签，以及在上级动作配置中缺少或使用通配符名称空间值，也可能导致远程代码执行。

此漏洞源自较低版本的Struts组件，当应郑大远程教育本科用程序引入相关组件时，可能造成远程攻击的风险。建议应用程序开发人员检查组件的版本是否在受影响区域中。关于Maven配置文件POM.xML.中的组件，如：

如果红色显示的版本在受影响的范围内，请尽快将Struts2升级到最新版本，以确保长期有效的保护。

Linux系统可以使用以下命令查找当前使用的struts2核心包，通过查看其文件名，确定当前版本。

官方已经在最新版本中修复了这个漏洞。请尽快将Struts升级到官方版本。2.3。*用户应升级到2.3.35；2.5。*用户应升级到2.5.17。下载链接如下：

检查所有Struts 2配置文件，如Struts。XML，为不定义命名空间命名空间的包节点添加命名空间配置。

http://云.nCopy.com /yas/kROSA/VIEWS/IITCDR/OptudioServServErvieSoID＝1026

2。可以通过入侵检测系统（IDS）、远程安全评估系统（RSAS V5、V6）和Web应用漏洞扫描系统（WVSS）来检测内部网资产。

此安全公告仅用于描述可能的安全问题，而格陵兰技术公司未对此安全公告提供任何保证或承诺。

因传播和利用本安全公告提供的信息而造成的任何直接或间接后果和损失由用户自己负责，绿色联盟科学技术和安全公告的作者不承担责任。为此。

如欲转载或传播本安全公告，必须确保本安全公告的完整性，包括版权声明和其他内容。未经格陵兰科技许可，不得擅自修改、增补本安全公告；减少，也不得以任何方式用于商业目的。

北京神州绿色联盟信息安全技术有限公司（以下简称绿色联盟技术）成立于2000年4月，总部设在北京，在国内外设立了30多个分支机构，提供具有核心竞争力的安全产品和解决方案。ons为政府、运营商、金融、能源、互联网、教育、医疗等行业帮助客户实现安全平稳的经营。

格陵兰技术经过多年的安全攻防研究，在网络和终端领域提供入侵检测、防拒绝服务攻击、远程安全评估和Web安全防护产品以及专业安全服务。l安全、互联网基础设施安全、合规和安全管理。

北京神州绿色联盟信息安全技术有限公司于2014年1月29日开始在深圳证券交易所创业板上市。该股票被称为：绿色联盟技术，股票代码：300369。

上一篇：广西建设工程质量安全监察总站和广西房屋城乡

下一篇：6位行业专家正在等待您参加首届移动技术短片大

相关阅读

短文中的成人英语三级解题

第一次检查结果未被接受。3＋2大专未达