安全预警 – 华为产品存在Apache Struts2远程代码执行安全漏洞
- 预警编号:huawei-sa-20160527-01-struts2
- 初始发布时间: 2016-05-27
- 更新发布时间: 2020-07-01
Apache Struts2官方在安全公告S2-032中公开披露了一个远程代码执行漏洞,在用户开启动态方法调用的情况下,攻击者利用此漏洞可以造成远程代码执行。
此漏洞的CVE编号为:CVE-2016-3081。
华为已发布版本修复该漏洞。安全预警链接:
http://www.huawei.com/cn/psirt/security-advisories/huawei-sa-20160527-01-struts2-cn
攻击者利用此漏洞可以造成远程代码执行。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
基础得分:9.3 (AV:N/AC:M/Au:N/C:C/I:C/A:C)
临时得分:7.7 (E:F/RL:O/RC:C)
1.前提条件:
Apache Struts2服务器中的动态方法调用是开启的状态
2. 攻击步骤:
攻击者可以通过向Apache Struts2服务器发送一个恶意构造的表达式,在服务器端上执行远程代码。
更多漏洞详情可以参考Apache Struts2官网链接:
客户可以部署华为NGFW(下一代防火墙)或者数据中心防火墙产品,并升级IPS特征库至2016年4月27日发布的最新版本IPS_H20011000_2016042700以检测和防护来自于网络层面的该漏洞攻击。
场景1:下列产品中Apache Struts2服务的DMI是默认开启的:OceanStor 5300 V3,OceanStor 5500 V3,OceanStor 5600 V3,OceanStor 5800 V3,OceanStor 6800 V3,OceanStor 9000。
规避方案:用户可以联系华为TAC(Huawei Technical Assistance Center)参考下面步骤关闭Apache Struts2服务的DMI:
1.登陆产品并找到struts.xml文件。
2.修改struts.xml文件中的struts.enable.DynamicMethodInvocation值为false。
3.重启web服务以生效struts.xml文件的修改。
场景2:下列产品中Apache Struts2服务的DMI是默认关闭的:FireHunter6000,OceanStor N8500,OceanStor Onebox。
规避方案:用户可以联系华为TAC(Huawei Technical Assistance Center)检查Apache Struts2服务中DMI的当前状态,如果DMI当前是开启的,请参考下面步骤关闭DMI:
1.登陆产品并找到struts.xml文件。
2.检查struts.xml文件中的struts.enable.DynamicMethodInvocation值,如果是true,则修改为false;如果是false或者为空,则不需要修改。
3.重启web服务以生效struts.xml文件的修改。
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接http://www.huawei.com/cn/psirt/report-vulnerabilities。
2016-08-03 V1.2 UPDATED 更新受影响产品信息和规避方案
2016-05-30 V1.1 UPDATED 更新受影响产品信息和规避方案
2016-05-27 V1.0 INITIAL
无
华为一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
获取华为公司安全应急响应服务及华为产品漏洞信息,请访问http://www.huawei.com/cn/psirt。
反馈华为产品和解决方案安全问题,请反馈至华为PSIRT邮箱PSIRT@huawei.com,详情参考http://www.huawei.com/cn/psirt/report-vulnerabilities。
