会员服务

【漏洞预警】Apache Struts2 再爆漏洞(ST2-054,ST2-055) 通告

2017 年 12 月 2 日 黑白之道


1.漏洞概述


S2-054漏洞简述:

2017年12月1日,Apache Strusts发布漏洞编号为CVE-2017-15707(S2-054)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts REST插件使用了过时的JSON-lib库,这个库很容易受到攻击,攻击者可以通过构造特制的JSON恶意请求造成DOS攻击。

https://cwiki.apache.org/confluence/display/WW/S2-054


S2-055漏洞简述:

2017年12月1日下午,Apache Strusts发布漏洞编号为CVE-2017-7525(S2-055)的安全漏洞,漏洞危害程度为中等(Moderate)。由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库,导致了反序列化漏洞的产生。

https://cwiki.apache.org/confluence/display/WW/S2-055


2.漏洞基本信息


产生原因

Apache Struts REST插件使用了过时的JSON-lib库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞ID

CVE-2017-15707(S2-054)


产生原因

Apache Struts调用了存在反序列化漏洞的Jackson JSON库

影响范围

Struts 2.5 – Struts 2.5.14

漏洞危害

中危

漏洞危害

CVE-2017-7525(S2-055)


3.修复建议


s2-054修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:使用Jackson处理程序替换默认的JSON-lib处理程序,替换方法:

http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler


s2-055修复建议:

方法一:升级到Apache Struts版本2.5.14.1。

方法二:手动将项目中的com.fasterxml.jackson升级到版本2.9.2,具体查看:https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770

文章出处:WebRAY
你会喜欢


Struts2 再爆高危漏洞S2-048 来了

警惕Apache Struts2最新(CVE-2017-5638,S02-45)漏洞

【安全预警】Struts2昨日再曝两枚高危漏洞!附官网文档翻译


登录查看更多
0

相关内容

java开发框架
【干货书】Python机器学习导论,340页pdf数据科学家指南
专知会员服务
171+阅读 · 2020年6月4日
【哈佛大学】机器学习的黑盒解释性,52页ppt
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
【硬核书】金融数学C++编程 ,411页pdf,C++ for Financial Mathematics
【硬核书】金融数学C++编程 ,411页pdf,C++ for Financial Mathematics
专知会员服务
72+阅读 · 2020年4月6日
【干货书】快速Python书籍,第三版,473页pdf,The Quick Python Book
【干货书】快速Python书籍,第三版,473页pdf,The Quick Python Book
专知会员服务
102+阅读 · 2020年4月2日
【2020新书】数据科学:十大Python项目,247页pdf
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
【电子书】C++ Primer Plus 第6版,附PDF
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
视频| 深度学习:人工智能下的恶意软件查杀
视频| 深度学习:人工智能下的恶意软件查杀
E安全
4+阅读 · 2019年9月30日
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
Github项目推荐 | Dragonfly:可扩展贝叶斯优化库(Python)
Github项目推荐 | Dragonfly:可扩展贝叶斯优化库(Python)
AI研习社
11+阅读 · 2019年3月22日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
DiscuzX 3.4 Phar反序列化漏洞
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
AI科技评论
5+阅读 · 2018年11月25日
MAT-CNN-SOPC: Motionless Analysis of Traffic Using Convolutional Neural Networks on System-On-a-Programmable-Chip
MAT-CNN-SOPC: Motionless Analysis of Traffic Using Convolutional Neural Networks on System-On-a-Programmable-Chip
Arxiv
3+阅读 · 2018年7月5日
Coarse-to-fine Seam Estimation for Image Stitching
Arxiv
4+阅读 · 2018年5月24日
Addressing the Item Cold-start Problem by Attribute-driven Active Learning
Arxiv
8+阅读 · 2018年5月23日
Mobile recommender systems: Identifying the major concepts
Arxiv
7+阅读 · 2018年5月6日
Stylistic Variation in Social Media Part-of-Speech Tagging
Arxiv
4+阅读 · 2018年4月19日
Deep Learning for Digital Text Analytics: Sentiment Analysis
Arxiv
4+阅读 · 2018年4月10日
Application of Rényi and Tsallis Entropies to Topic Modeling Optimization
Arxiv
6+阅读 · 2018年2月28日
Multilingual Topic Models
Arxiv
3+阅读 · 2017年12月18日
Improving Object Localization with Fitness NMS and Bounded IoU Loss
Arxiv
4+阅读 · 2017年11月8日
Twitter Sentiment Analysis
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关主题
Struts
Apache
JSON
Struts 2
REST
序列化
相关VIP内容
【干货书】Python机器学习导论,340页pdf数据科学家指南
专知会员服务
171+阅读 · 2020年6月4日
【哈佛大学】机器学习的黑盒解释性,52页ppt
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
【MIT】Yufei Zhao《图论与加法组合学》,177页pdf
专知会员服务
49+阅读 · 2020年4月27日
【硬核书】金融数学C++编程 ,411页pdf,C++ for Financial Mathematics
【硬核书】金融数学C++编程 ,411页pdf,C++ for Financial Mathematics
专知会员服务
72+阅读 · 2020年4月6日
【干货书】快速Python书籍,第三版,473页pdf,The Quick Python Book
【干货书】快速Python书籍,第三版,473页pdf,The Quick Python Book
专知会员服务
102+阅读 · 2020年4月2日
【2020新书】数据科学:十大Python项目,247页pdf
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
【电子书】C++ Primer Plus 第6版,附PDF
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
热门VIP内容
相关资讯
视频| 深度学习:人工智能下的恶意软件查杀
视频| 深度学习:人工智能下的恶意软件查杀
E安全
4+阅读 · 2019年9月30日
漏洞预警丨Xstream远程代码执行漏洞
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
Github项目推荐 | Dragonfly:可扩展贝叶斯优化库(Python)
Github项目推荐 | Dragonfly:可扩展贝叶斯优化库(Python)
AI研习社
11+阅读 · 2019年3月22日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
百度开源项目OpenRASP快速上手指南
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
DiscuzX 3.4 Phar反序列化漏洞
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
开发 | GitHub项目推荐 : 用于对机器学习模型进行对抗性攻击、防御和基准测试的Python库
AI科技评论
5+阅读 · 2018年11月25日
相关论文
MAT-CNN-SOPC: Motionless Analysis of Traffic Using Convolutional Neural Networks on System-On-a-Programmable-Chip
MAT-CNN-SOPC: Motionless Analysis of Traffic Using Convolutional Neural Networks on System-On-a-Programmable-Chip
Arxiv
3+阅读 · 2018年7月5日
Coarse-to-fine Seam Estimation for Image Stitching
Arxiv
4+阅读 · 2018年5月24日
Addressing the Item Cold-start Problem by Attribute-driven Active Learning
Arxiv
8+阅读 · 2018年5月23日
Mobile recommender systems: Identifying the major concepts
Arxiv
7+阅读 · 2018年5月6日
Stylistic Variation in Social Media Part-of-Speech Tagging
Arxiv
4+阅读 · 2018年4月19日
Deep Learning for Digital Text Analytics: Sentiment Analysis
Arxiv
4+阅读 · 2018年4月10日
Application of Rényi and Tsallis Entropies to Topic Modeling Optimization
Arxiv
6+阅读 · 2018年2月28日
Multilingual Topic Models
Arxiv
3+阅读 · 2017年12月18日
Improving Object Localization with Fitness NMS and Bounded IoU Loss
Arxiv
4+阅读 · 2017年11月8日
Twitter Sentiment Analysis
Arxiv
5+阅读 · 2015年9月14日
大家都在搜
  1. palantir
  2. 大模型
  3. 大型语言模型
  4. 全面综述
  5. 无人机蜂群
  6. RE-NET
  7. 洛克菲勒
  8. 笛卡尔
  9. PRML
  10. 出海产品从 0 到 1 该怎么做
    11.
Top
微信扫码咨询专知VIP会员
Top