解密：Struts2漏洞及其补丁漏洞“曝光”纪实

还记得4月15号，安恒信息在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-3081)，并已给出详实分析及修复办法。随后，Apache Struts2官方又发布安全公告：Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令。

这是自2013年Struts2(s2-016)命令执行漏洞大规模爆发之后，该服务时隔三年再次爆发大规模漏洞。该漏洞也是爆出的最严重安全漏洞。黑客利用该漏洞，可对企业服务器实施远程操作，从而导致数据泄露、远程主机被控、内网渗透等重大安全威胁。

而一个漏洞的应对，从发现到解决绝非一蹴而就。在6月3日，据悉安恒信息对Struts2 S2-033漏洞分析发现：最新高危漏洞官方修复方案无效。当安恒信息工程师在分析github上的修复的版本Struts 2.3.20.3, Struts 2.3.24.3 or Struts 2.3.28.1时，发现跟之前版本并没有多大改动，立即查看Struts2 2.5版本的提交纪录，发现一条更新纪录。这条更新过滤了struts2-rest插件中RestActionMapper.java的handleDynamicMethodInvocation中的actionMethod属性，但是分析到安全公告中的修复版本根本对这个漏洞未做任何修补。

漏洞发生后，各安全厂商纷纷忙碌起来。安恒信息更是在第一时间采取应措施。对Apache发布Struts2 S2-033远程代码执行漏洞的修复方案经过安恒研究院研究人员的测试，确认该修复方案并不完整，依然会导致恶意攻击者对Struts2应用发起远程代码执行攻击，并对外发布紧急预警提示。发现此次Struts2漏洞修复方案无效的就是安恒信息技术高手“Nike.zheng”,此前4月份，就是他就曾向Apache官方提交了Struts 2高危安全漏洞(CVE-2016-3081,S02-32)，并受到来自官方的回复及感谢。

面对此次Struts2 S2-033漏洞修复方案并不完整，安恒信息安全工程师详实的记录下分析漏洞的情况，并已给出了相应的防护方案:

客户可以使用明鉴web应用弱点扫描器和网站安全监测平台在线更新策略来检测是否自身应用存在漏洞，WAF产品可以有效防护本次漏洞;同时也可以使用在线检测0day.websaas.com.cn进行检测。

而除了进行升级修复外，面对防不胜防的漏洞威胁，安恒信息提醒广大开发者及用户，接入专业的第三方安全服务机构进行专业的安全防护将可能是更为有效有保障的选择。据悉，安恒信息风暴中心分别提供网络空间安全态势感知服务可及时提供提供预警通报，“玄武盾”云安全防护服务第一时间进行0day漏洞防护，以及一站式"安恒云"平台服务，应对大数据时代下云的一体化安全防护，提供与时俱进的全面解决方案。

安恒信息作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌、全球网络安全500强企业，再是事件后表示:在未来，秉承企业“务实，创新”精神，持续为客户提供拥有自主知识产权的信息安全产品和高品质的信息安全服务，时刻保护用户的数据信息安全。

作者：晓忆

来源：51CTO