观天漏洞描述:Apache Struts 2存在一个严重的文件上传导致远程代码执行漏洞S2-067,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,可导致上传可用于执行远程代码的恶意文件。
目前受影响的Apache-Struts2版本:
2.0.0 ≤ Apache Struts 2 ≤ 2.3.37
2.5.0 ≤ Apache Struts 2 ≤ 2.5.33
6.0.0 ≤ Apache Struts 2 ≤ 6.3.0.2
升级版本:更新到6.4.0及以上版本,下载链接:https://struts.apache.org/download.cgi
一、可升级的:
1、升级先做好原全量备份
2、了解新版本Apache Struts 2 6.4.0或以上版本增加或减少了哪些功能、升级是否影响现业务功能。测试环境升级测试。
3、存在高可用的业务场景,升级时把业务切换到主服务应用,使用备用服务进行升级,观察升级后业务是否影响。待业务稳定后再切换升级另外一个应用。
临时缓解方案:
一、临时无法升级的:
1.检查是否使用了 FileUploadInterceptor 组件,如果并未使用则不受该漏洞影响;如业务应用不需要 FileUploadInterceptor 组件,则不要使用。
2.实施严格的输入验证,确保所有上传的文件都符合预期的格式和大小限制。
