欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 338|回复: 0

[安全通知] 关于Apache Struts2 DOS 漏洞和反序列化漏洞通知

[复制链接]

179

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
26930
威望
11383
发表于 2017-12-2 15:22:22 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到 Apache Struts2 被曝存在拒绝服务漏洞(漏洞编号:CVE-2017-15707,官方编号:S2-054),攻击者可利用该漏洞展开拒绝服务攻击,官方同时公布一个反序列化漏洞 (漏洞编号:CVE-2017-7525,官方编号:S2-055),攻击者可利用该漏洞展开攻击,官方评级为中危
        为避免您的业务受影响,腾讯云安全中心建议您:及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   S2-054 : Struts 2.5 - Struts 2.5.14 使用的 JSON-lib 库存在漏洞,攻击者可以利用特殊构造的 JSON 请求实施拒绝服务攻击。
   S2-055 : Struts 2.5 - Struts 2.5.14 使用了 Jackson JSON ,Jackson JSON 本身存在的反序列化漏洞( https://github.com/FasterXML/jackson-databind/issues/1599 )导致了相关版本的 Struts2 被影响。
  
【风险等级】
   中风险

【漏洞风险】
   S2-054 :拒绝服务
   S2-055 :尚不明确

【影响版本】
   目前已知受影响版本如下:
   Struts 2.5 - Struts 2.5.14

【安全版本】
   Struts 2.5.14.1

【修复建议】
   建议您参照上述【安全版本】升级到对应的最新版本(目前最新版本下载链接:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1 )
  【注】建议您在版本升级前做好数据备份工作,避免出现意外。
   
【漏洞参考】
  1)https://cwiki.apache.org/confluence/display/WW/S2-054
  2https://cwiki.apache.org/confluence/display/WW/S2-055
  3https://github.com/FasterXML/jackson-databind/issues/1599

2017/12/2
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-2-24 14:14 , Processed in 1.109314 second(s), 29 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部