安全预警-Apache Struts 2漏洞对华为产品影响预警漏洞
- 预警编号:Huawei-SA-20130730-Struts
- 初始发布时间: 2013年07月30日
- 更新发布时间: 2014年01月08日
Struts2是Apache发布的Java企业级web应用框架,在基于web的应用产品中被广泛使用。当前Apache Struts2.0.0 - 2.3.15版本存在四个安全漏洞,华为产品因为使用了此受影响的Apache Struts版本,而导致受这四个问题的影响。
Apache Struts 2的"s:a"和"s:url"标签都提供了一个includeParams属性,当该属性被设置为get或all时,Apache Struts 2会将用户提交的参数值作为OGNL表达式执行。攻击者通过构造特定的OGNL表达式,进而执行Java代码或操作系统指令(漏洞编号:HWNSIRT-2013-0601)。官方链接:http://struts.apache.org/release/2.3.x/docs/s2-014.html,(CVE-2013-2115, CVE-2013-1966)。
Apache Struts2存在远程OGNL表达式注入漏洞(漏洞编号: HWNSIRT-2013-0704)。官方链接;http://struts.apache.org/release/2.3.x/docs/s2-015.html,(CVE-2013-2134, CVE-2013-2135)。
Apache Struts 2的"action:", "redirect:" or "redirectAction:"前缀参数在实现其功能的过程中使用了OGNL表达式,并将用户通过URL提交的内容拼接入OGNL表达式中(漏洞编号:HWNSIRT-2013-0705)。官方链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html(CVE-2013-2251)。
Apache Struts 2的DefaultActionMapper在处理短路径重定向参数前缀"redirect:"或"redirectAction:"时存在开放重定向漏洞 (漏洞编号: HWNSIRT-2013-0706)。官方链接: http://struts.apache.org/release/2.3.x/docs/s2-017.html (CVE-2013-2248)。
Apache已经发布Struts2官方补丁,除升级到Struts 2.3.15.1外,无其他规避方案。基于Struts 2.3.15.1补丁,华为提供了解决问题的修复版本。|
产品名称 |
版本号 |
|
GalaX8800 |
V100R002C01 |
|
DC Integration Solution |
V100R001C02 |
|
Portal |
V100R002C01 |
|
OceanStor CSE |
V100R002 |
|
OceanStor CSS |
V100R001 |
|
FusionAccess |
V100R003C00 |
|
FusionManager |
V100R003C00 |
|
OceanStor UDS |
V100R001C00 |
|
ManageOne SSMC |
V100R001C02 |
|
VTM |
V100R001C01 |
|
eSpace meeting |
V100R001C01 |
|
eSpace UC1.0 |
V100R001C01 |
|
eSpace UC2.0 |
V200R001C01 |
|
eSpace CC |
V200R001C01 |
|
eSpace EMS |
V200R001C01 |
|
DSM |
V100R002C03 |
|
Elog |
V100R003C01 |
|
iSOC |
V200R001C00 |
|
TSM |
V100R002C07及之前的版本 |
|
VSM |
V200R002C00 |
|
eSight |
V200R002C00 |
|
Anti-DDoS |
V100R001C00SPC300 |
|
ASG2100 |
V100R001C00 |
|
NIP |
V100R001C00 |
|
eLTE3.1.0(TTR2.0) |
eLTE V300R001C00 |
|
HostAgent |
V100R003C00 |
- 漏洞编号:HWNSIRT-2013-0601
攻击者可利用此漏洞执行任意命令,XSS攻击,访问和操作会话。
- 漏洞编号:HWNSIRT-2013-0704
攻击者可利用此漏洞操作服务器端对象并在受影响应用上下文中执行任意命令。
- 漏洞编号:HWNSIRT-2013-0705
攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。
- 漏洞编号:HWNSIRT-2013-0706
攻击者利用漏洞操作"redirect:"或"redirectAction:"后的信息,重定向URL到任意位置。
漏洞使用CVSSv2计分系统进行分级(http://www.first.org/cvss/)
- 漏洞编号 : HWNSIRT-2013-0601
基础得分: 10.0 (AV:N/AC:M/Au:N/C:C/I:C/A:C)
临时得分: 8.3 (E:F/RL:O/RC:C)
总分: 8.3
- 漏洞编号 : HWNSIRT-2013-0704
基础得分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
临时得分: 6.2 (E:F/RL:O/RC:C)
总分: 6.2
- 漏洞编号 : HWNSIRT-2013-0705
基础得分: 10.0 (AV:N/AC:L/Au:N/C:C/I:C/A:C)
临时得分: 8.3 (E:F/RL:O/RC:C)
总分: 8.3
- 漏洞编号 : HWNSIRT-2013-0706
基础得分: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P)
临时得分: 6.2 (E:F/RL:O/RC:C)
总分: 6.2
目前对于Apache Struts 2漏洞无有效的规避方案,我们建议可以通过对基础设备设置安全策略或过滤规则来保护网络的安全性。例如:当受影响产品只用于为内部提供管理服务,可以通过ACL设置白名单限制访问的IP地址。
|
产品名称 |
版本号 |
补丁版本号 |
|
GalaX8800 |
V100R002C01 |
SingleCLOUD V100R002C01CP3005 |
|
DC Integration Solution |
V100R001C02 |
SingleCLOUD V100R002C01CP3005 |
|
Portal |
V100R002C01 |
SingleCLOUD V100R002C01CP3005 |
|
OceanStor CSE |
V100R002 |
OceanStor CSE V100R001C02SPC316 |
|
OceanStor CSS |
V100R001 |
OceanStor CSE V100R001C02SPC316 |
|
FusionAccess |
V100R003C00 |
V100R003C00SPC100 |
|
FusionManager |
V100R003C00 |
V100R003C00SPC201 |
|
OceanStor UDS |
V100R001C00 |
V100R001C00SPC103 |
|
ManageOne SSMC |
V100R001C02 |
V100R001C02CP1001 |
|
VTM |
V100R001C01 |
V100R001C01SPC303 |
|
eSpace meeting |
V100R001C01 V100R001C02 |
V100R001C02SPC400 |
|
eSpace UC1.0 |
V100R001C01 V100R001C02 |
先升级到V100R001C02SPC200 ,再加载V100R001C02SPC20b补丁 |
|
V100R001C02SPC300 |
V100R001C02SPC303 |
|
|
V100R002C01 |
先升级到V100R002SPC300, 再加载V100R002C01SPC301补丁 |
|
|
eSpace UC2.0 |
V200R001C01 |
V200R001C02SPC502 |
|
eSpace CC |
V200R001C01 |
V200R001C02SPC500 |
|
eSpace EMS |
V200R001C01 |
V200R001C03SPC700 |
|
DSM |
V100R002C03 |
V100R002C03CP7001 |
|
V100R002C05 |
V100R002C05CP4001 |
|
|
elog |
V100R003C01 |
V100R003C01SPC402 |
|
iSOC |
V200R001C00 |
V200R001C00SPC201 |
|
V200R001C02 |
V200R001C02SPC201 |
|
|
TSM |
V100R002C07及之前的版本 |
V100R002C07CP2001 |
|
VSM |
V200R002C00 |
V200R002C00SPC402 |
|
eSight |
V200R002C00 |
V200R002C00SPC110 |
|
V200R002C01 |
V200R002C01SPC306 |
|
|
V200R003C00 |
V200R003C00CP3001 |
|
|
V300R001C00 |
V300R001C00CP1001 |
|
|
Anti-DDoS |
V100R001C00SPC300 |
在V100R001C00SPC300版本目录下,下载AticInstall_V200R001C00SPH701补丁 |
|
ASG2100 |
V100R001C00 |
V100R001C00SPC700 |
|
NIP |
V100R001C00 |
V100R002C00SPC100 |
|
eLTE3.1.0(TTR2.0) |
eLTE V300R001C00 |
V100R002C00SPC200 |
|
HostAgent |
V100R003C00 |
使用ISSP V100R005C01SPC400替换 |
用户可以通过华为TAC (Huawei Technical Assistance Center)获取补丁/更新版本。
TAC的联系方式见链接: http://www.huawei.com/cn/security/psirt/report-vulnerabilities/index.htm.
尽管华为没有获悉客户网络中的华为产品被恶意利用,但公开的渠道已经确认互连网服务提供商等用户遭受攻击的实例,建议使用华为产品的客户在获得补丁后尽快修复。
对于华为产品和解决方案的安全问题,请通过PSIRT@huawei.com联系华为PSIRT。
对于通用的华为产品和解决方案的问题,直接联系华为TAC(Huawei Technical Assistance Center)获取相关问题的配置或技术协助
2013-07-30 V1.0 INITIAL
2013-08-07 V1.1 UPDATE : 更新版本修复计划
2013-08-16 V1.2 UPDATE : 更新版本修复计划
2013-10-14 V1.3 UPDATE : 更新版本修复计划
2014-01-08 V1.4 UPDATE: 更新版本修复计划
无
