1 Apache Struts2 远程代码执行漏洞通告(高危)
2 Apache Shiro 身份验证绕过漏洞通告(高危)
3 Jenkins Jetty 组件安全漏洞通告(严重)
4 Apache Dubbo 反序列化漏洞通告(中危)
1. Apache Struts2 远程代码执行漏洞通告
发布日期
2020-08-14
威胁类型
远程代码执行(RCE)
危险等级
高危
漏洞ID
CVE-2019-0230
受影响的版本
Apache Struts 2.0.0-2.5.20
详细描述
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。
2020年8月13日,Apache官方发布公告,修复了一个Apache Struts2远程代码执行漏洞(CVE-2019-0230)。该漏洞源于Struts 2会对某些标签的属性值进行二次表达式解析,当使用%{...} or ${...}语法对标签属性进行强制解析的情况下,OGNL表达式中引用未经验证的用户输入,通过构造恶意的OGNL表达式,导致远程代码执行。
修补建议
Apache官方已经发布新版本,请升级到Struts 2.5.22或更高版本,下载地址:
https://cwiki.apache.org/confluence/
display/WW/Version+Notes+2.5.22
临时措施:
1. 将输入参数的值重新分配给某些Struts的标签属性时,始终对其进行验证;
2. 除非有有效的用例,否则不要在值以外的标签属性中使用%{...}或$ {...}语法引用可修改的输入,参考链接:
https://struts.apache.org/security/
#use-struts-tags-instead-of-raw-el-expressions
3. 开启ONGL表达式注入保护,参考链接:
https://struts.apache.org/security/
#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
2.Apache Shiro 身份验证绕过漏洞通告
发布日期
2020-08-18
威胁类型
身份验证绕过
危险等级
高危
漏洞ID
CVE-2020-13933
受影响的版本
Apache Shiro < 1.6.0
详细描述
2020年6月22日,Apache官方发布公告,修复了一个Apache Shiro身份验证绕过漏洞(CVE-2020-11989),攻击者可通过构造恶意请求利用该漏洞来绕过身份验证,并发布1.5.3版本。但这个修复并不完全,由于shiro在处理url时与spring仍然存在差异,shiro最新版仍然存在身份验证绕过漏洞。2020年8月17日Apache官方再次发布公告,进一步修复Apache Shiro身份验证绕过漏洞(CVE-2020-13933),并发布1.6.0版本。
修补建议
官方已发布新版本,请升级到1.6.0版本,下载地址:
http://shiro.apache.org/download.html
3.Jenkins Jetty 组件安全漏洞通告
发布日期
2020-08-19
威胁类型
反序列化
危险等级
严重
漏洞ID
CVE-2019-17638
受影响的版本
Jenkins 2.224-2.242
Jenkins LTS 2.222.1-2.235.4
详细描述
近日Jenkins官方发布通告,修复了一个Jenkins Jetty组件中的安全漏洞(CVE-2019-17638)。该漏洞源于Jenkins 2.224至2.242版本和LTS 2.222.1至2.235.4版本中自带的Jetty 9.4.27存在安全漏洞(CVE-2019-17638),导致未经身份验证的攻击者可获取HTTP响应标头,从而访问到其他用户的敏感信息。
Jenkins是最受欢迎的开源自动化服务器之一,由CloudBees和Jenkins维护。自动化服务器支持开发人员构建,测试和部署其应用程序,它在全球拥有数十万个活动安装,拥有超过100万用户,建议用户尽快将Jenkins、Jenkins LTS升级到安全版本。
修补建议
请升级到Jenkins 2.243或Jenkins LTS 2.235.5版本,下载地址:
https://www.jenkins.io/changelog-stable/
4.Apache Dubbo 反序列化漏洞通告
发布日期
2020-08-17
威胁类型
反序列化
危险等级
中危
漏洞ID
CVE-2020-11995
受影响的版本
Dubbo 2.7.0 - 2.7.7
Dubbo 2.6.0 - 2.6.8
Dubbo 2.5.x (官方不再维护)
详细描述
2020年8月16日Apache官方发布通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2020-11995)。该漏洞源于Apache Dubbo Hessian2协议存在反序列化漏洞,导致通过构建恶意请求可执行任意代码。
Dubbo默认使用Hessaian2作为序列化/反序列化协议,当使用Hessaian2反序列化HashMap对象时,一些存储在类HashMap中的函数将被执行,但这可能会导致远程命令执行。例如,rome-1.7.0.jar中EqualsBean类的hashCode()函数会导致构建一个远程加载恶意类并执行恶意代码的恶意请求。
Dubbo 是阿里巴巴公司开源的一款高性能、轻量级Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及自动注册服务。目前已被多家大型企业网络采用,涉及阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等,该漏洞影响使用2.5.x,2.6.x和2.7.x的所有Dubbo用户,请相关用户尽快升级。
修补建议
官方已发布新版本,请升级到2.6.9或2.7.8版本,下载地址:
https://github.com/apache/dubbo/
releases/tag/dubbo-2.6.9
https://github.com/apache/dubbo/
releases/tag/dubbo-2.7.8
临时措施:
在Hessian2 3.2.9中设置支持白名单,参考链接:
https://github.com/apache/dubbo-
hessian-lite/releases/tag/v3.2.9
来源:信息安全国家工程研究中心