欢迎访问凯铧科技有限公司网站! |7X24服务热线:158-0160-3153
  • 阿里云服务器

    简单高效、处理能力可弹性伸缩的计算服务

    了解详情
当前位置:首页 > 活动 · 动态 >
阿里云发布最新Apache Struts远程代码执行漏洞(CVE-2016-1000031) 2020-02-12 10:54:45

近日,Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告,其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031,而2.3.x系列版本的Apache Struts2仍在使用低版本的Commons FileUpload库,该库作为Struts2的一部分,被用作文件上传的默认机制,远程攻击者利用该漏洞可直接获得服务器权限。2.5.12以上版本的Struts2暂不受影响。

阿里云安全应急响应中心及时监测到Apache Struts发布的这个安全更新,以解决低版本的Commons FileUpload库带来的远程反序列化代码执行漏洞,凯铧互联安全工程师建议客户尽快更新Commons FileUpload依赖库到最新的发行版本。

影响范围

Apache Struts 2.3.36及之前的版本

风险评级

CVE-2016-1000031:严重

安全建议

方案一:

升级至2.5.18及以上版本的Struts2,官方下载链接:https://struts.apache.org/download.cgi

方案二:

升级Struts2依赖的Commons FileUpload库版本至最新1.3.3,官方下载地址:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi

方案三:

针对Maven的项目可直接修改pom.xml配置文件如下并重构项目:

<dependency>

<groupId>commons-fileupload</groupId>

<artifactId>commons-fileupload</artifactId>

<version>1.3.3</version>

</dependency>

 

阿里云云盾态势感知应急漏洞模块已支持对该漏洞一键检测,详情登陆云盾控制台

 

相关链接

https://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E

 

如需要购买阿里云云盾、云防火墙、态势感知等安全服务,凯铧互联提供优惠代购阿里云产品服务,更多详情请咨询凯铧互联客服

为什么选择凯铧互联购买阿里云业务:

   凯铧互联由多名前阿里云资深服务器运维技术专家创立,资深阿里云代理、腾讯云代理、华为云代理商
   
凯铧互联拥有多款自主研发软件、我们技术实力雄厚,我们更懂您的需求
   
凯铧互联已经为多家上市公司、政府机构提供服务,安全可靠凯铧互联独有的合伙人计划,为您提供独立的管理后台,您的客户下单都算您的业绩
  
凯铧互联提供免费阿里云技术咨询服务,专家为您提供一对一免费咨询服务(阿里云代理技术服务)

如何优惠折扣购买阿里云业务:

1.如果您是自买自用,我们会为您新建一个阿里云官网账号(拥有阿里云全部权限,可开官网发票)您通过这个账号新买、续费阿里云产品均可优惠(可签订合同,值得您长期合作),具体优惠价格请联系在线客服!

2.如果您是为朋友或者客户采购,欢迎您成为我们的合伙人

我们会为您开通一个独立的管理后台,您的客户下的订单您都可以看到,我们会按期给您结算奖励金。