关于Apache Struts 2拒绝服务漏洞(CVE-2023-34149)的预警提示
发布时间:2023-06-25浏览次数:529
一、漏洞详情 Apache Struts是一个免费、开源的MVC框架,用于创建Java Web应用程序。 Apache发布安全公告,修复了Struts 2中的两个拒绝服务漏洞: CVE-2023-34149:Apache Struts 2拒绝服务漏洞(S2-063) Apache Struts 2中,先前向XWorkListPropertyAccessor 添加了autoGrowCollectionLimit,但它只处理setProperty()而不处理getProperty()。如果开发人员已将底层Collection类型字段的 CreateIfNull设置为true,可能会由于未正确检查列表边界而导致OOM(内存耗尽),造成拒绝服务。 CVE-2023-34396:Apache Struts 2拒绝服务漏洞(S2-064) Apache Struts 2多个受影响版本中,当多部分请求具有非文件标准格式字段时,Struts会将它们作为字符串放入内存,而不检查它们的大小。如果开发人员将struts.multipart.maxSize设置为等于或大于可用内存的值,则可能导致OOM,造成拒绝服务。 建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。 二、影响范围 Apache Struts <=2.5.30 Apache Struts <=6.1.2 三、修复建议 目前这些漏洞已经修复,受影响用户可更新到Apache Struts 2.5.31、6.1.2.1或更高版本。 |