포스팅 내용

국내외 보안동향

Apache Struts2 원격코드실행 취약점 발견!

Apache Struts2 원격코드실행 취약점 발견!


최근 Struts2에서 취약점(CVE-2016-3081, S02-32)가 발견되었습니다. 이번 취약점은DMI(DynamicMethodInvocation)가 사용함으로 설정되어 있는Apache Struts2 서버에 공격자가 원격으로 임의의 코드를 실행할 수 있는 취약점입니다. 


취약한 버전


Struts 2.0.0 - Struts Struts2.5.BETA3 (2.3.20.2, 2.3.24.2, 2.3.28.1 제외)



패치방법


1) DMI를 사용안함으로 설정

Struts2 설정 파일에서“struts.enable.DynamicMethodInvocation” 설정값을 False로 합니다.

예 ) <constant name="struts.enable.DynamicMethodInvocation" value="false" />;    =“struts.enable.dynamicmethodinvocation”>


2) 최신 버전으로 업데이트

▶ Struts 업데이트 하러가기




참고 :

https://cwiki.apache.org/confluence/display/WW/Home;jsessionid=83D947F931CCCE848104B3B3965FF3D1

  1. 과니겨리 2016.09.21 19:54  수정/삭제  댓글쓰기

    패치방법이 궁금합니다
    lib 폴더에 새로받은 파일 넣으면 끝인가요??

    • 알약(Alyac) 2016.09.22 09:52 신고  수정/삭제

      안녕하세요. 가장 좋은 패치 방법은 사용하시는 Struts2를 최신버전으로 업데이트하시는 것이며, 만약 업데이트가 불가능한 상황이시라면 Struts2 설정파일인 struts.xml에서 “struts.enable.DynamicMethodInvocation”값을 False로 설정해 주시면 됩니다. 감사합니다.

티스토리 방명록 작성
name password homepage