S2-056REST插件拒绝服务攻击

rodster

S2-056REST插件拒绝服务攻击

总结

使用了struts2 REST插件,制作一个精心雕琢的XML请求能造成拒绝服务攻击.

谁应该关注	使用了REST插件的所有的struts2的开发者
漏洞点影响	在Struts REST插件中使用XStream处理程序时，可能会发生DoS攻击
影响程度	中危
建议	更新到Struts 2.5.16
影响软件	Struts 2.1.1 - Struts 2.5.14.1
报送者	Yevgeniy Grushka & Alvaro Munoz from HPE
CVE编号	CVE-2018-1327

问题来源

REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。

解决

更新至apache Struts版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这),另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。

向后兼容

预计不会有后向不兼容问题。

解决办法

使用如此处描述的 jackson XML处理器而不是默认的XStream XML处理器。

#切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers