:::

ANA事件通知:【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正

最新公告
張貼人:圖資處-網路組公告日期:2017-03-08

教育機構ANA通報平台

發佈編號

TACERT-ANA-2017030801033939

發佈時間

2017-03-08 13:42:40

事故類型

ANA-漏洞預警

發現時間

2017-03-07 00:00:00

影響等級

   

[主旨說明:]【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端執行任意程式碼之漏洞(CVE-2017-5638),請儘速確認並進行修正

[內容說明:]

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201703-0008
 
Apache Struts 2是一個開放原始碼的Java EE網站應用程式的Web應用框架。 該漏洞主要是Apache Struts 2負責處理檔案上傳封包的Jakarta解析程式(parser)存在安全性漏洞,遠端攻擊者可利用漏洞寄送含有惡意Content-Type值的封包,造成攻擊者可遠端執行任意程式碼,進而可能導致機敏資訊外洩等風險。
 
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發

[影響平台:]

Apache Struts 2 
-2.3.52.3.31 
-2.52.5.10

[建議措施:]

1.請各機關應確認網站主機是否使用Apache Struts 2的網頁應用框架,可透過檢查網站主機目錄中「WEB-INF\lib\」資料夾內的Struts2.jar檔,確認當前使用的版本。
 
2.如所使用的Apache Struts 2為上述(2.3.52.3.312.52.5.10)影響之版本,則請更新官方Github所釋出最新之Apache Struts 2.3.32Struts 2.5.10.1的版本。

[參考資料:]

1. https://cwiki.apache.org/confluence/display/WW/S2-045
2. https://github.com/apache/struts/releases
 
 
參考連結:
最後修改時間:2017-03-08 PM 4:38
  • 許淑淨2016奧運金牌-網頁廣告
  • 104年度校務評鑑
  • 2015-cheers-TOP20
  • 104-105年度教學卓越計畫-網頁廣告
cron web_use_log