(32bit)rules-yxlink-12.11.26.12.zip升级包详细说明

名称: (32bit)rules-yxlink-12.11.26.12.zip 版本:V12.11.26.12
MD5:85603360e5b9df7abdc0c4704bc16480 大小:251.99 K
描述:

铱迅web应用防护系统规则升级包,请在固件版本2.6.04.8767上进行升级;

【新增规则】

1.Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)


漏洞简介:


Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的ContentType,可能导致远程命令执行。


实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。

影响范围:

 Struts 2.3.5 – Struts 2.3.31

 Struts 2.5 – Struts 2.5.10

修复方案:

如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。  


发布时间:2017-03-08 15:58:32