设为首页收藏本站 开启辅助访问
搜索
    查看: 7496|回复: 0

    [安全新闻] S2-056REST插件拒绝服务攻击

    [复制链接]
    发表于 2018-3-28 10:24:05 | 显示全部楼层 |阅读模式
    近日有研究人员发现了一个S2-056REST插件拒绝服务攻击漏洞,当使用了struts2 REST插件时,一个构造精巧的XML请求可能造成拒绝服务攻击的后果。

    漏洞详情
      
    应当关注的对象
      
    使用了REST插件的所有的struts2的开发者
    漏洞点影响
    Struts REST插件中使用XStream处理程序时,可能会发生DoS攻击
    影响程度
    中危
    建议
    更新到Struts 2.5.16
    影响软件
    Struts 2.1.1 - Struts 2.5.14.1
    报送者
    Yevgeniy Grushka & Alvaro Munoz from HPE
    CVE编号
    CVE-2018-1327


    问题来源
    REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。
    解决
    更新至apache Struts版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这),另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。

    向后兼容
    预计不会有后向不兼容问题。

    解决办法
    使用如此处描述的 jackson XML处理器而不是默认的XStream XML处理器。
    #切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers


    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2018-12-16 04:15 , Processed in 1.103911 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表