恒心未抿 发表于 2018-3-28 10:24:05

S2-056REST插件拒绝服务攻击

近日有研究人员发现了一个S2-056REST插件拒绝服务攻击漏洞,当使用了struts2 REST插件时,一个构造精巧的XML请求可能造成拒绝服务攻击的后果。

漏洞详情

应当关注的对象使用了REST插件的所有的struts2的开发者
漏洞点影响在Struts REST插件中使用XStream处理程序时,可能会发生DoS攻击
影响程度中危
建议更新到Struts 2.5.16
影响软件Struts 2.1.1 - Struts 2.5.14.1
报送者Yevgeniy Grushka & Alvaro Munoz from HPE
CVE编号CVE-2018-1327


问题来源
REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。
解决
更新至apache Struts版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这),另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。

向后兼容
预计不会有后向不兼容问题。

解决办法
使用如此处描述的 jackson XML处理器而不是默认的XStream XML处理器。
#切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers


页: [1]
查看完整版本: S2-056REST插件拒绝服务攻击