(ANA事件單通知:TACERT-ANA-2016042909042424)(【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼)

教育機構ANA通報平台
發佈編號 TACERT-ANA-2016042909042424 發佈時間 2016-04-29 09:27:30
事故類型 ANA-漏洞預警 發現時間 2016-04-26 00:00:00
影響等級 高
[主旨說明:]【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼
[內容說明:]
轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047

根據美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2016-3081。[1][2]
針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本,攻擊者可透過DefaultAction.java的invokeAction弱點,將惡意攻擊程式碼夾帶於Request中,允許攻擊者遠端執行任意程式碼。[3]
請各機關檢視所支援的Apache Struts 2版本,儘速更新至最新版本。

[影響平台:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外) [4]
[建議措施:]
Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞,請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本,請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]
(1) 檢查是否使用Apache Struts 2 Web應用框架,可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔,若存有相關jar檔再進行版本確認。
(2) 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本,應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」,以停用Dynamic Method Invocation。[6]
(3) 停用Dynamic Method Invocation參考設定如下:

[參考資料:]
1. https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3081
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081
3. http://www.securitytracker.com/id/1035665
4. https://vuldb.com/?id.82790
5. http://struts.apache.org/download.cgi#struts-ga
6. https://struts.apache.org/docs/s2-032.html

(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw