欢迎访问大学官方网站!
首页 > 新闻公告 > 正文

关于Apache Struts2执行漏洞关闭部分网站的通知

关于Apache Struts2执行漏洞关闭部分网站的通知

Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)

漏洞简介:

Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的ContentType,可能导致远程命令执行。

实际上在default.properties文件中,struts.multipart.parser的值有两个选择,分别是jakarta和pell(另外原本其实也有第三种选择cos)。其中的jakarta解析器是Struts2框架的标准组成部分。默认情况下jakarta是启用的,所以该漏洞的严重性需要得到正视。

影响范围:

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

修复方案:

方法一:

如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。

方法二:见附件。

202.118.201.19服务器存在漏洞的网站列表:

1)应用物理系

2)学生处助学

3)学生处 老版

4)哈理工心理咨询

5)化工学院素质拓展学分管理系统

6)哈尔滨理工大学硕士研究生录取系统

7)软件学院策划--党的群众路线教育实践活动

8)哈理工直属部门党总支网站

9)测控技术与通信工程学院老版

10)马列学院

11)哈尔滨理工大学招生信息服务系统

12)素拓

13)大学物理学术竞赛

14)后勤报修

15)哈尔滨理工大学博士研究生入学网上报名系统

以上网站已经被关停,待各部门自行修复漏洞后重新启用!

如有疑问,请联系:86390810

哈尔滨理工大学现代教育技术中心

2017年3月8日