-
Apache Struts2 보안취약점JAVA 2016. 4. 27. 14:01반응형
1. 개요
- 해외 사이트에서 Apache Struts2 보안취약점(CVE-2016-3081)에 대한 개념증명(PoC) 코드가 공개되었고,
공개된 정보에 따르면, “struts.enable.DynamicMethodInvocation = True”로 설정되어 있을 경우
원격지에서 조작된 HTTP Request를 통하여 웹 서버의 OS 명령어 실행이 가능함
2. 영향 시스템 : Apache Struts 2.0.0 ~ 2.3.28 (except 2.3.20.2 and 2.3.23.2)
3. 조치방법
- struts.enable.DynamicMethodInvocation = False 로 변경
※ 기본은 False 인 것으로 확인되며, 설정변경 시 서비스영향도 확인 필요
- 안전한 버전으로 업그레이드 (Struts 2.3.20.2, 2.3.24.2 or 2.3.28.1)
4. 참고 URL
- http://www.freebuf.com/vuls/102836.html
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081 (Reserved 상태)
반응형'JAVA' 카테고리의 다른 글
Java 8의 parallelStream 을 사용할때 Log4j 의 MDC 문제 해결하기 (0) 2017.03.13 구글에서 오픈소스로 공개한 자연어 처리 기술 (0) 2016.05.13 node.js 및 python 등의 서버 스크립트 언어의 eval 취약점 (0) 2015.04.15 FindBugs Bug Descriptions(한글) (0) 2015.03.30 가비지 컬렉션... (0) 2014.10.30