Struts2再曝S2-020补丁绕过漏洞–万恶的正则表达式
4月24日,网络曝出文章“安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。”
受影响产品:
Struts 2.0.0 – Struts 2.3.16.1
成因与威胁:
Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器下的Java Class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。
让我们一起来回顾一下Struts缝缝补补的历史(万恶的正则表达式):
2007年1月:
dojo\..*
2008年6月:
dojo\..*,^struts\..*
2012年3月:
dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*
2013年10月:
^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
2014年3月(S2-020):
^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
漏洞详情:Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。
修复方式:将 '^class\.*'添加到excludeParams列表内
2014年4月……
从目前公布的信息来看,这个漏洞的局限性很高,利用范围仍然有限。
目前官方在GitHub上对该问题做出了修正(临时)。
代码修复详情:
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92
core/src/main/resources/struts-default.xml
-
^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
+(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
请注意多处都要修改。
在4月24日下午,又有同学贴出了终极修改方案:
修改struts源码
com.opensymphony.xwork2.interceptor.ParametersInterceptor
将此处代码:
- public void setExcludeParams(String commaDelim) {
- Collection
excludePatterns = ArrayUtils.asCollection(commaDelim); - if (excludePatterns != null) {
- excludeParams = new HashSet
(); - for (String pattern : excludePatterns) {
- excludeParams.add(Pattern.compile(pattern));
- }
- }
- }
修改为:
- public void setExcludeParams(String commaDelim) {
- Collection
excludePatterns = ArrayUtils.asCollection(commaDelim); - if (excludePatterns != null) {
- excludeParams = new HashSet
(); - for (String pattern : excludePatterns) {
- excludeParams.add(Pattern.compile(pattern));
- }
- }
- //s021 zhenzheteng
- Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE);
- Pattern s021_2 = Pattern.compile(".*'class&'.*",Pattern.CASE_INSENSITIVE);
- Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE);
- excludeParams.add(s021_1);
- excludeParams.add(s021_2);
- excludeParams.add(s021_3);
- }
Struts历史漏洞回顾:
S2-020: http://struts.apache.org/release/2.3.x/docs/s2-020.html
S2-019的远程代码执行漏洞: http://sebug.net/vuldb/ssvid-61048
S2-016官方补丁分析:http://www.freebuf.com/articles/web/11234.html
S2-013的漏洞分析:http://www.freebuf.com/vuls/9757.html
Struts2最近几个漏洞分析&稳定利用Payload: http://www.freebuf.com/articles/web/25337.html
希望Struts官方能在爆出漏洞的第一时间完美的堵上…..
另外关于S2-020:http://sec.baidu.com/index.php?research/detail/id/18
参考:
apache:http://struts.apache.org/release/2.3.x/docs/s2-020.html
cnvd:http://www.cnvd.org.cn/webinfo/show/3427
piyolog:http://d.hatena.ne.jp/Kango/20140417/139775019
scutum:http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html
ipa.jp:http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
空虚浪子心的博客:http://www.inbreak.net/
还有各路微博……
本文标题:Struts2再曝S2-020补丁绕过漏洞–万恶的正则表达式
本文链接:http://www.csdahua.cn/qtweb/news3/389153.html
网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网
- 掌握Linux权限:实现快速权限查询(linux权限查询)
- 海外服务器租用需要注意哪些方面
- 怎么找到域名持有人,把已经注册的域名重新要回来?(域名怎么查不到所有人信息)
- Linux系统自动化测试:实现稳健运行(linux系统自动化测试)
- 6个必知必会的关于容器的概念
- 云服务怎么关闭?(如何关闭云服务器防火墙)
- 电脑ip怎么改
- python如何修改列表
- 有没有免费云服务器
- 为什么王者荣耀星期一到星期五可以玩了?星期五在线服务器
- 移动数据窃取:共享应用库带来的风险
- 怎么更改dns?(如何更改DNS值)
- 自己搭建cdn服务器(自己搭建cdn服务器赚钱)
- cdn加速流量包
- wws是什么意思?万维网服务器是直接买吗