發布編號

TACERT-ANA-2016042909042424

發現時間

2016-04-26 00:00:00

發佈時間

2016-04-29 09:27:30

事故類型

ANA-漏洞預警

影響等級

高

主旨說明

【漏洞預警】特定版本Apache Struts 2允許攻擊者遠端執行任意程式碼

內容說明

[內容說明]:

轉發行政法人國家資通安全科技中心 資安訊息警訊 NCCST-ANA-201604-0047

根據美國國家標準技術研究所（NIST）的國家弱點資料庫（NVD）發布弱點編號CVE-2016-3081。[1][2]

針對Apache 的Struts 2.3.20至Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本，攻擊者可透過DefaultAction.java的invokeAction弱點，將惡意攻擊程式碼夾帶於Request中，允許攻擊者遠端執行任意程式碼。[3]

請各機關檢視所支援的Apache Struts 2版本，儘速更新至最新版本。

此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發。

影響平台

建議措施

Apache Struts 2.3.20至Apache Struts 2.3.28(2.3.20.2、2.3.24.2除外)版本已發現存在安全漏洞，請各機關確認網站主機是否使用Apache Struts 2 Web應用框架。若有使用受影響之版本，請將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本。[5]

• 檢查是否使用Apache Struts 2 Web應用框架，可透過檢查網站主機目錄中的「WEB-INF\lib\」資料夾是否存有struts相關jar檔，若存有相關jar檔再進行版本確認。
• 若選擇不將Apache Struts 2更新至2.3.20.2、2.3.24.2或2.3.28.1以上之版本，應於struts.xml設定檔中將「struts.enable.DynamicMethodInvocation」的值設定為「false」，以停用Dynamic Method Invocation。[6]

參考資料

備註