S2-056REST插件拒绝服务攻击
S2-056REST插件拒绝服务攻击 总结使用了struts2 REST插件,制作一个精心雕琢的XML请求能造成拒绝服务攻击.谁应该关注使用了REST插件的所有的struts2的开发者
漏洞点影响在Struts REST插件中使用XStream处理程序时,可能会发生DoS攻击
影响程度中危
建议更新到Struts 2.5.16
影响软件Struts 2.1.1 - Struts 2.5.14.1
报送者Yevgeniy Grushka & Alvaro Munoz from HPE
CVE编号CVE-2018-1327
问题来源REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。解决更新至apache Struts版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这),另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。 向后兼容预计不会有后向不兼容问题。解决办法使用如此处描述的 jackson XML处理器而不是默认的XStream XML处理器。#切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers
页:
[1]