반응형
cve-2016-3081
-
Apache Struts2 보안취약점JAVA 2016. 4. 27. 14:01
1. 개요- 해외 사이트에서 Apache Struts2 보안취약점(CVE-2016-3081)에 대한 개념증명(PoC) 코드가 공개되었고,공개된 정보에 따르면, “struts.enable.DynamicMethodInvocation = True”로 설정되어 있을 경우원격지에서 조작된 HTTP Request를 통하여 웹 서버의 OS 명령어 실행이 가능함 2. 영향 시스템 : Apache Struts 2.0.0 ~ 2.3.28 (except 2.3.20.2 and 2.3.23.2) 3. 조치방법 - struts.enable.DynamicMethodInvocation = False 로 변경 ※ 기본은 False 인 것으로 확인되며, 설정변경 시 서비스영향도 확인 필요- 안전한 버전으로 업그레이드 (Struts 2..