转载（原标题：网站再遭新威胁 Struts2又曝高危漏洞啦）

自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后，关于Struts2的安全性便广受关注。近日，安全研究人员则再次发现了Struts2存在远程代码执行的漏洞，Struts2官方已经确认该漏洞（S2-045），并定级为高危漏洞。

编号为CVE-2017-5638的该漏洞，是基于Jakarta plugin插件的Struts远程代码执行漏洞。据悉，该漏洞会造成RCE远程代码执行，恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令，可直接造成系统被控制。黑客通过Jakarta文件上传插件实现远程利用该漏洞执行代码。

影响系统及版本：Struts 2.3.5 - Struts 2.3.31、Struts 2.5 - Struts 2.5.10。由于Apache Struts2是一种国内使用非常广泛的Web应用开发框架，被大量的政府、金融以及大中型互联网公司所使用。同时鉴于该漏洞的利用代码已经扩散，因此，对现有网站安全已构成了非常高的现实威胁。

那么众多行业网站该如何进行防护呢？作为一个临时处理方案，可以修改启动虚拟机相关选项，修改Struts 2上传文件时的上传解析器为非Jakarta。

　　由于Struts 2默认用Jakarta的Common-FileUpload的文件上传解析器，这是存在漏洞的，默认为以下配置

struts.multipart.parser=jakarta

指定其他类型的解析器，以使系统避免漏洞的影响：

指定使用COS的文件上传解析器

struts.multipart.parser=cos

或

指定使用Pell的文件上传解析器

struts.multipart.parser=pell

此外，安全专家还给出了若干个修复建议：

第一，如果用户使用基于Jakarta的多分片文件上传解析器，强烈建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本。

第二，天眼（SkyEye）未知威胁感知系统的流量探针已加入对利用此漏洞的攻击检测规则，可以精准地发现相关的攻击并判定是否攻击成功，请升级天眼未知威胁感知系统到3.0.3.1或以上版本并升级最新的检测规则。

天眼未知威胁感知系统检测到攻击截图

第三，如客户在无法确认是否使用该框架或相关版本，可通过360网站云监测服务、或360网站智能监控系统检查确认是否爆出该漏洞，从而进行下一步的防御措施。

第四，客户也可通过“云”+“端”的防护方案对该类型漏洞进行防护，从另一个维度解决问题。将方案通过在将安全保护代码嵌入到运行中的服务器应用程序，通过实时拦截所有的系统调用并确保调用安全，通过与云端防护系统的联动，最终实现应用程序自我保护，同时可为客户提供针对Web系统Web攻击防护、网页防篡改等安全防护能力。通过该方案的实施部署，针对该类型的漏洞可做到无需升级、智能防护，从另一个维度根本解决这类漏洞问题。

来源：网站再遭新威胁 Struts2又曝高危漏洞啦http://safe.zol.com.cn/630/6301248.html