二连浩特娱乐舆情问政百科通信亲子房产旅游理财书画教育校园文史人才女性

漏洞预警:Struts2 devMode导致远程代码执行漏洞

2020-03-26 02:30:27 来源:中国西藏网

上个月月中Struts2的漏洞预警才出,这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过这次的漏洞,发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。

当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。

 

\

 

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

"struts.devMode" value="false" />


相关阅读:
水站 http://www.1tongshui.cn
  • 二连浩特新闻网版权所有 本站点信息未经允许不得复制或镜像
  • tian99.cn copyright 2000 - 2015
  • 冀ICP备09047539号-1 | 互联网新闻信息服务许可证编号:1312006002
  • 广播电视节目制作经营许可证(冀)字第101号|信息网络传播视听节目许可证0311618号