JAVA

Apache Struts2 보안취약점

.노을. 2016. 4. 27. 14:01
반응형

1. 개요

- 해외 사이트에서 Apache Struts2 보안취약점(CVE-2016-3081)에 대한 개념증명(PoC) 코드가 공개되었고,

공개된 정보에 따르면, “struts.enable.DynamicMethodInvocation = True”로 설정되어 있을 경우

원격지에서 조작된 HTTP Request를 통하여 웹 서버의 OS 명령어 실행이 가능함

 

2. 영향 시스템 : Apache Struts 2.0.0 ~ 2.3.28 (except 2.3.20.2 and 2.3.23.2)

 

3. 조치방법

   - struts.enable.DynamicMethodInvocation = False 로 변경

     ※  기본은 False 인 것으로 확인되며, 설정변경 시 서비스영향도 확인 필요

- 안전한 버전으로 업그레이드 (Struts 2.3.20.2, 2.3.24.2 or 2.3.28.1)

 

4. 참고 URL

   - http://www.freebuf.com/vuls/102836.html

   - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081 (Reserved 상태)

반응형
저작자표시 비영리 변경금지