图片
图片

更多案例

【漏洞通告】多个高危漏洞预警

1 Apache Struts2 远程代码执行漏洞通告(高危) 
2 Apache Shiro 身份验证绕过漏洞通告(高危) 
3 Jenkins Jetty 组件安全漏洞通告(严重) 
4 Apache Dubbo 反序列化漏洞通告(中危) 

 


1. Apache Struts2 远程代码执行漏洞通告

 

发布日期

2020-08-14

 

威胁类型

远程代码执行(RCE)

 

危险等级

高危

 

漏洞ID

CVE-2019-0230

 

受影响的版本

Apache Struts 2.0.0-2.5.20

 

详细描述

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。

2020年8月13日,Apache官方发布公告,修复了一个Apache Struts2远程代码执行漏洞(CVE-2019-0230)。该漏洞源于Struts 2会对某些标签的属性值进行二次表达式解析,当使用%{...} or ${...}语法对标签属性进行强制解析的情况下,OGNL表达式中引用未经验证的用户输入,通过构造恶意的OGNL表达式,导致远程代码执行。

 

修补建议

Apache官方已经发布新版本,请升级到Struts 2.5.22或更高版本,下载地址:
https://cwiki.apache.org/confluence/
display/WW/Version+Notes+2.5.22

 

临时措施:
1. 将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证;
2. 除非有有效的用例,否则不要在值以外的标签属性中使用%{...}或$ {...}语法引用可修改的输入,参考链接:
https://struts.apache.org/security/
#use-struts-tags-instead-of-raw-el-expressions
3. 开启ONGL表达式注入保护,参考链接:
https://struts.apache.org/security/
#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

 


2.Apache Shiro 身份验证绕过漏洞通告

 

发布日期

2020-08-18

 

威胁类型

身份验证绕过

 

危险等级

高危

 

漏洞ID

CVE-2020-13933

 

受影响的版本

Apache Shiro < 1.6.0

 

详细描述

2020年6月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。

 

修补建议

官方已发布新版本,请升级到1.6.0版本,下载地址:

http://shiro.apache.org/download.html

 


3.Jenkins Jetty 组件安全漏洞通告

 

发布日期

2020-08-19

 

威胁类型

反序列化

 

危险等级

严重

 

漏洞ID

CVE-2019-17638

 

受影响的版本

Jenkins   2.224-2.242

Jenkins   LTS 2.222.1-2.235.4

 

详细描述

近日Jenkins官方发布通告,修复了一个Jenkins Jetty组件中的安全漏洞(CVE-2019-17638)。该漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27存在安全漏洞(CVE-2019-17638),导致未经身份验证的攻击者可获取HTTP响应标头,从而访问到其他用户的敏感信息。

 

Jenkins是最受欢迎的开源自动化服务器之一,由CloudBees和Jenkins维护。自动化服务器支持开发人员构建,测试和部署其应用程序,它在全球拥有数十万个活动安装,拥有超过100万用户,建议用户尽快将Jenkins、Jenkins LTS升级到安全版本。

 

修补建议

请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本,下载地址:


https://www.jenkins.io/changelog-stable/


4.Apache Dubbo 反序列化漏洞通告

 

发布日期

2020-08-17

 

威胁类型

反序列化

 

危险等级

中危

 

漏洞ID

CVE-2020-11995

 

受影响的版本

Dubbo 2.7.0 - 2.7.7
Dubbo 2.6.0 - 2.6.8
Dubbo 2.5.x (官方不再维护)

 

详细描述

2020年8月16日Apache官方发布通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2020-11995)。该漏洞源于Apache Dubbo Hessian2协议存在反序列化漏洞,导致通过构建恶意请求可执行任意代码。


Dubbo默认使用Hessaian2作为序列化/反序列化协议,当使用Hessaian2反序列化HashMap对象时,一些存储在类HashMap中的函数将被执行,但这可能会导致远程命令执行。例如,rome-1.7.0.jar中EqualsBean类的hashCode()函数会导致构建一个远程加载恶意类并执行恶意代码的恶意请求。


Dubbo 是阿里巴巴公司开源的一款高性能、轻量级Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及自动注册服务。目前已被多家大型企业网络采用,涉及阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等,该漏洞影响使用2.5.x,2.6.x和2.7.x的所有Dubbo用户,请相关用户尽快升级。

 

修补建议

官方已发布新版本,请升级到2.6.9或2.7.8版本,下载地址:
https://github.com/apache/dubbo/
releases/tag/dubbo-2.6.9
https://github.com/apache/dubbo/
releases/tag/dubbo-2.7.8

 

临时措施:
在Hessian2 3.2.9中设置支持白名单,参考链接:
https://github.com/apache/dubbo-
hessian-lite/releases/tag/v3.2.9

 

来源:信息安全国家工程研究中心