Apache Struts跨站请求伪造和拒绝服务漏洞

发布日期:2012-08-31
更新日期:2012-09-04

受影响系统:
Apache Group Struts 2.x
描述:
--------------------------------------------------------------------------------
Apache Struts是一款开发Java web应用程序的开源Web应用框架。

Apache Struts 2.3.4.1之前版本存在安全漏洞,可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。

1)令牌处理机制没有正确验证令牌名称配置参数,通过操作令牌值参数为会话属性值,该漏洞可被利用执行跨站请求伪造攻击。

2)在处理请求参数时的错误可被利用消耗CPU资源,通过包含OGNL表达式的参数名称可造成拒绝服务。

<*来源:James K. Williams
 
  链接:http://secunia.com/advisories/50420/
        http://struts.apache.org/2.x/docs/s2-010.html
        http://struts.apache.org/2.x/docs/s2-011.html
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

Apache Group
------------
Apache Group已经为此发布了一个安全公告(s2-010)以及相应补丁:
s2-010:Apache Struts 2 Documentation

链接:http://struts.apache.org/2.x/docs/s2-010.html

相关推荐