1.漏洞概述
S2-054漏洞简述:
2017年12月1日,Apache Strusts发布漏洞编号为CVE-2017-15707(S2-054)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts REST插件使用了过时的JSON-lib库,这个库很容易受到攻击,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。
https://cwiki.apache.org/confluence/display/WW/S2-054
S2-055漏洞简述:
2017年12月1日下午,Apache Strusts发布漏洞编号为CVE-2017-7525(S2-055)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。
https://cwiki.apache.org/confluence/display/WW/S2-055
2.漏洞基本信息
产生原因
Apache Struts REST插件使用了过时的JSON-lib库
影响范围
Struts 2.5 – Struts 2.5.14
漏洞危害
中危
漏洞ID
CVE-2017-15707(S2-054)
产生原因
Apache Struts调用了存在反序列化漏洞的Jackson JSON库
影响范围
Struts 2.5 – Struts 2.5.14
漏洞危害
中危
漏洞危害
CVE-2017-7525(S2-055)
3.修复建议
s2-054修复建议:
方法一:升级到Apache Struts版本2.5.14.1。
方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:
http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler
s2-055修复建议:
方法一:升级到Apache Struts版本2.5.14.1。
方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,具体查看:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770
文章出处:WebRAY
你会喜欢返回搜狐,查看更多
责任编辑:
