近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。
受影响版本:
Apache Struts <= 2.3.36
Apache Common FileUpload < 1.3.3
Common FileUpload 升级至 1.3.3 (对应的 common-io 为2.2版本)
Struts2 升级至 2.5.26 (安全漏洞修复-Structs2-S2-061)
依赖项: https://commons.apache.org/proper/commons-fileupload/dependencies.html
变更声明: https://dist.apache.org/repos/dist/release/commons/fileupload/RELEASE-NOTES.txt
发行历史: https://commons.apache.org/proper/commons-fileupload/changes-report.html
目前项目是 1.3.1 需升级到 1.3.3
从版本 1.3.0、1.3.1 或 1.3.2 迁移到 1.3.3 不需要更改客户端代码
直升替换版本即可.(由于 Apache Struts <= 2.3.36 会有 strcuts 漏洞, 因此需注意)
Apache Struts2 Commons FileUpload远程代码执行漏洞(CVE-2016-100031) 安全预警
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析
版权声明:本站所有资料均为网友推荐收集整理而来,仅供学习和研究交流使用。
工作时间:8:00-18:00
客服电话
电子邮件
admin@qq.com
扫码二维码
获取最新动态
