代码编织梦想

format,png 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

format,png

Apache 软件基金会发布 Struts 2 安全更新,修复了一个和 OGNL 技术相关的“很可能存在的远程代码执行“缺陷。

Apache Struts 作为开源的 MVC Web 应用框架,可使开发人员构建 Java 应用,一直以来受到多个严重漏洞的影响,而其中很多漏洞和 Struts 2 应用的 OGNL 技术有关。

Apache 发布安全公告指出,该漏洞的编号为 CVE-2020-17530。当通过 %{...} 语法应用强制性 OGNL 评估时,标记的属性可执行双重评估。另外,当强制性 OGNL 评估应用于不受信任的输入时,可实现远程代码执行。

类似漏洞(CVE-2019-0230)曾在2020年8月份发布新版本 Struts 2.5.22时解决。

按照设计,Struts 2 中包含双重评估功能,在既定表达式中引用经验证的值后应用。然而,当引用不受信任的用户输入时,就可能导致恶意代码遭注入。

format,png

解决方案

Apache 提出的缓解措施很简单:开发人员应当确保强制性 OGNL 评估为用于不受信任的输入中。

该漏洞影响 Struts 2.0.0 至 Struts 2.5.25,且已在 Struts 2.5.26 中解决,通过执行检查确保表达式评估不会导致双重评估。

美国国土安全部 CISA 发布安全公告,通知该漏洞补丁已发布,并发布警告称该缺陷可导致攻击者接管易受攻击的系统,并建议用户和管理员应用补丁。

推荐阅读

Apache Commons Collections反序列化漏洞分析与复现

Apache Shiro权限绕过漏洞 (CVE-2020-11989) 挖掘分析和复现

Apache Solr 未授权上传(RCE)漏洞(CVE-2020-13957)的原理分析与验证

原文链接

https://www.securityweek.com/possible-code-execution-flaw-apache-struts

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

format,png

format,png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

   format,png 觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/smellycat000/article/details/111055934

C语言 -- 字符串中根据特定字符(串)分割-爱代码爱编程

版权 C语言字符串操作函数有很多,这里举出需要用到的,其他请自行查找。 1、len = strlen(p) ;//取字符串长度  原型:size_t strlen(const char *s);  功能:统计字符串string

Pandas必知必会的使用技巧,值得收藏!-爱代码爱编程

作者:风控猎人 本期的主题是关于python的一个数据分析工具pandas的,归纳整理了一些工作中常用到的pandas使用技巧,方便更高效地实现数据分析。文章很短,不用收藏就能Get~ Pandas技巧总结 1.计算变量缺失率 df=pd.read_csv('titanic_train.csv') def missing_cal(df):

JS--介绍/版本/特性-爱代码爱编程

原文网址:JS--介绍/版本/特性_IT利刃出鞘的博客-CSDN博客 JavaScript、ES5、ES6、TypeScript 其他网址 JavaScript、ES5和ES6的介绍和区别_战五渣-CSDN博客_es5和es6的区别 ES历史版本  版本发表日期与前版本的差异11997年6月首版21998年6月格式修正,以使得其形式与I

模糊查询——MongoDB-爱代码爱编程

MongoDB的模糊查询是使用正则匹配实现:关键操作符**$regex** 1.MongoDB 使用 $regex 操作符来设置匹配字符串的正则表达式。 2.MongoDB使用PCRE (Perl Compatible Regular Expression) 作为正则表达式语言。 当要实现MongoDB的document中某字段内容模糊查询时,可以在

python 爬虫 30行代码带你爬取酷狗音乐的歌曲内容-爱代码爱编程

#!/usr/bin/env python # -*- coding: utf-8 -*- # @Time : 2020/12/12 10:00 # @Author : huni # @File : 酷狗音乐.py # @Software: PyCharm import requests import warnings import js

Recursion, Regular Expressions, BNF(Backus-Naur Form grammar) and use of MAP-爱代码爱编程

Recursion, Regular Expressions, BNF(Backus-Naur Form grammar) and use of MAP 新开了一门外教课程,Object-oriented Programming(JAVA), 记录一些学习经验,以及部分和c++的区别感悟。 本文主要有三部分: 递归的interesting po

Vue 创建的 app 实例最终去哪了-爱代码爱编程

昨天在 来,开局先创建一个 app 这节内容中我们学习了如何创建一个 app,今天我们学习一下 app 中的方法。大家思考一下「Vue 创建的 app 实例最终去哪了」。 1、component 你可以在 Vue 中全局注册组件,以在其它组件中直接使用,无需通过 import 导入。通过源码发现,app 有一个执行环境 _context,所有注册

H5基于canvas实现电子签名并生成PDF文档-爱代码爱编程

作者:coyota666 来源:https://juejin.cn/post/6901273585428463624 前言 电子签名通俗来说就是通过技术手段实现在电子文档上加载电子形式的签名,其作用类似于纸质合同上的手写签名或加盖的公章。虽然电子签名多年来合法性一直遭到质疑,但其在企业工作流审批、请柬、单据保全等场景应用广泛,最

使用CSS3 Cubic-Bezier创建动画链接悬停效果-爱代码爱编程

我们将使用CSS3动画过渡来创建简单但引人入胜的链接悬停效果,将鼠标悬停在链接上时,会弹出一个小弹出框。我们还将看一下CSS3 Cubic-Bezier(贝塞尔)曲线,它是CSS过渡,为弹出框提供了更加流畅的运动,而不是僵化的机械运动。 这是我们最后的效果: 让我们开始吧! html部分 这是我们链接的html,图标来自iconfon

FireEye 红队失窃工具大揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)-爱代码爱编程

 聚焦源代码安全,网罗国内外最新资讯! 前言 最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub 上发布了一些应对措施。奇安信代码安全实验室将从技术角度,对 GitHub 仓库中的相关漏洞进行分

曝!BAT大厂NLP学习进阶之法~-爱代码爱编程

“语言理解是人工智能领域皇冠上的明珠。” ——比尔盖茨 自然语言处理是一门综合性的学问,它远远不止机器学习算法。相比图像或语音,文本的变化更加复杂,例如从预处理来看,NLP 就要求我们根据对数据的理解定制一种流程。 相比图像等更偏向感知的智能,不论是承载思想、情感还是推理。随着近年来 UGC 内容的越来越多,NLP 在很大程度上需要解决无结

python画出《雪景》的效果-爱代码爱编程

欢迎加入我们卧虎藏龙的python讨论qq群:729683466 ●导 语 ● 冬天到了 我们用python模拟一下雪景 顺便学习一下python的图像处理 以及其中的图片连帧变化 学一下这个 对写游戏很有帮助 其中用到的很多方法都是一样的。 代码及相关资源获取 1:关注“python趣味爱好者”公众号,回复“雪景 ”获取源代码。