【IT168 技术】近期，国家互联网应急中心(CNCERT)主办的国家信息安全漏洞共享平台收录了Apache Struts存在一个远程命令执行高危漏洞(编号：CNVD-2013-25061，对应CVE-2013-1966)。综合利用漏洞，可发起远程攻击，轻则窃取网站数据信息，严重的可取得网站服务器控制权，构成信息泄露和运行安全威胁。

　　Apache Struts2 是第二代基于Model-View-Controller (MVC)模型的JAVA企业级WEB应用框架。根据分析结果，Apache Struts2的s:a和s:url标签都提供了一个includeParams属性,当该属性被设置为get或all时，Apache Struts2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式，进而执行Java代码或操作系统指令。

　　CNVD对该漏洞的评级为“高危”，Apache Struts 2.0.0 - 2.3.14受到漏洞影响。该漏洞与在2012年对我国境内政府和重要信息系统部门、企事业单位网站造成严重威胁的漏洞(CNVD-2012-09285，对应CVE-2012-0392)相比，利用前提条件有所限制，但技术评级相同且受影响版本更多。

　　2013年4月起，CNVD就陆续接收到漏洞研究者针对该漏洞的相关网站测试案例报告，当中包括多种形式的涉及Windows/Linux平台的漏洞利用代码。

　　Apache Struts2安全更新，修复重要漏洞

　　Apache Struts团队6月底发布了Struts 2.3.15版本，由于该版本被发现存在重要的安全漏洞，因此该团队于7月17日发布了Struts 2.3.15.1安全更新版本。

　　该版本修复的主要安全漏洞如下：

　　● 使用缩写的导航参数前缀时的远程代码执行漏洞

　　● 使用缩写的重定向参数前缀时的开放式重定向漏洞

　　因此，天融信WEB安全研究团队建议开发者将所有Struts 2应用程序升级至最新版本。

　　如果从其他分支迁移至2.3.x分支，需要注意，该分支最低要求Servlet API 2.4、JSP API 2.0和Java 5。

　　天融信TopWAF有效防御Apache Struts2高危漏洞

　　漏洞公布后，天融信WEB安全研究团队第一时间响应分析，更新了TopWAF中的攻击规则库，增加了对Apache Struts2漏洞的防护规则，避免没有及时对Struts 2应用程序版本进行升级的网站遭到黑客攻击。经过测试验证，TopWAF的防护效果显著。

　　未部署TopWAF时，存在漏洞的网站可以轻而易举的被攻击成功，网站敏感信息严重泄露。

图 1:攻击成功示意图

　部署TopWAF后，黑客的恶意请求行为被TopWAF有效阻止，避免存在漏洞的网站泄露敏感信息。

图 2：攻击失败示意图

　　综合以上，天融信WEB安全研究团队提醒正在使用Struts框架的网站管理员，及时升级应用程序或TopWAF规则库至最新版本。以保证自己的网站免遭Struts 2高危漏洞的危害。

　　天融信TopWAF简介：

　　WEB应用安全防护系统TopWAF系列是天融信公司根据当前互联网安全状况，研制出品的新一代WEB应用防火墙产品。该产品对所有流经WEB服务器的HTTP/HTTPS流量进行深入分析，防止黑客利用应用程序漏洞对网站进行WEB攻击。同时，TopWAF集成WEB应用加速及网站业务智能分析等功能，致力对各类网站系统提供高质量的安全防护及业务优化。

图 3：TopWAF三大核心功能