论坛首页 Java企业应用论坛

struts2 最新漏洞 S2-016、S2-017修补方案

浏览 9638 次
锁定老帖子 主题:struts2 最新漏洞 S2-016、S2-017修补方案
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
  • chinahnzhou
  • 等级: 初级会员
  • 性别:
  • 文章: 14
  • 积分: 40
  • 来自: 深圳
   发表时间:2013-07-18  

昨天struts2爆了一个好大的漏洞,用道哥的话来说就是:“今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,大家可以感受一下。”

看下乌云这两天的数据:

相关报道:

灾难日:中国互联网惨遭Struts2高危漏洞摧残

Struts2被曝重要漏洞,波及全系版本

官方描述:

S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016
S2-017:https://cwiki.apache.org/confluence/display/WW/S2-017

 

============================== 好了,下面是正题 ==============================

struts2漏洞S2-016、S2-017修补方案:

为了排版整齐一点,将代码放在最后。

方案1:
  方案介绍:
    手工修改Ognl.jar源码,增加恶意代码过滤。此方法只能修补S2-016漏洞,但是对以后可能产生的ognl漏洞有预防作用。
  操作步骤:
    1.1 找到项目中ognl-version.jar,然后找到其对应的源码。把源码解压后,导入到eclipse。找到Ongl.java中修改如下代码:
    1.2 将上面修改后的项目通过eclipse导出为ognl-my.jar, 将它放到lib目录。
    1.3 删除原来ognl-version.jar
    1.4 重启服务器。

方案2:
  方案介绍:
    重写struts2 DefaultActionMapper的handleSpecialParameters方法,增加action、redirect、redirectAction等参数的过滤。此方法可修补S2-016、S2-017漏洞。
  操作步骤:
    2.1 新建com/website/struts2/MyDefaultActionMapper.java,代码如下:
    2.2 复制MyDefaultActionMapper.class 到 /com/website/struts2/目录。
    2.3 用struts.xml添加如下代码:
    2.4 重启服务器。

注意:
1.方案1中的“恶意代码”和方案2中的“action、redirect、redirectAction”均为hardcode,如有需要可改为从配置文件读取。
2.方案1原则上对系统没有影响,方案2进行了redirect和redirectAction可跳转性测试,但未进行全站测试。
3.方案1和方案2可以同时执行,也可只执行单独一个。

 

附件:

Ognl.java

复制代码
public static Object parseExpression(String expression)
        throws OgnlException {
    // -- jason.zhou 20130718 add start -- // 
    // Runtime、ProcessBuilder为恶意代码,其它可自行添加
    String evalMethod[] = { "Runtime", "ProcessBuilder" };
    String methodString = null;
    methodString = expression.toLowerCase();
    for (int i = 0; i < evalMethod.length; i++) {
        if (methodString.indexOf(evalMethod[i].toLowerCase()) > -1) {
            System.out.print("|OGNL正在执行恶意语句|" + methodString + "|看到这个消息,请联系安全工程师!!!");
            return null;
        }
    } 
    // -- jason.zhou 20130718 add start -- // 

    try {
        OgnlParser parser = new OgnlParser(new StringReader(expression));
        return parser.topLevelExpression();
    } catch (ParseException e) {
        throw new ExpressionSyntaxException(expression, e);
    } catch (TokenMgrError e) {
        throw new ExpressionSyntaxException(expression, e);
    }
}
复制代码

 

 MyDefaultActionMapper.java

复制代码
/**
 * zhounenghua@163.com copyright
 */
package com.website.struts2;

/**
 * @author jason.zhou
 * @date 2013-7-18
 */
public class MyDefaultActionMapper extends DefaultActionMapper {
    public void handleSpecialParameters(HttpServletRequest request, ActionMapping mapping) {
        Set uniqueParameters = new HashSet();
        Map parameterMap = request.getParameterMap();
        for (Iterator iterator = parameterMap.keySet().iterator(); iterator.hasNext();) {
            String key = (String) iterator.next();

            if ((key.endsWith(".x")) || (key.endsWith(".y"))) {
                key = key.substring(0, key.length() - 2);
            }

            // -- jason.zhou 20130708 add start -- //
            if ((key.contains("redirect:")) || (key.contains("redirectAction:")) || (key.contains("action:"))) {
                return;
            }
            // -- jason.zhou 20130708 add end -- //
            
            if (!uniqueParameters.contains(key)) {
                ParameterAction parameterAction = (ParameterAction) this.prefixTrie.get(key);
                if (parameterAction != null) {
                    parameterAction.execute(key, mapping);
                    uniqueParameters.add(key);
                    break;
                }
            }
        }
    }
}
复制代码

 

struts.xml

<!-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper -->  
<bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class="com.website.struts2.MyDefaultActionMapper" />     
<constant name="struts.mapper.class" value="myDefaultActionMapper" />

 本文代码有参考如下网址:http://www.inbreak.net/archives/507
返回顶楼
         
  • kevintop
  • 等级: 初级会员
  • 性别:
  • 文章: 27
  • 积分: 60
  • 来自: 北京
   发表时间:2013-07-19  
chinahnzhou 写道

昨天struts2爆了一个好大的漏洞,用道哥的话来说就是:“今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,大家可以感受一下。”

看下乌云这两天的数据:

相关报道:

灾难日:中国互联网惨遭Struts2高危漏洞摧残

Struts2被曝重要漏洞,波及全系版本

官方描述:

S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016
S2-017:https://cwiki.apache.org/confluence/display/WW/S2-017

 

============================== 好了,下面是正题 ==============================

struts2漏洞S2-016、S2-017修补方案:

为了排版整齐一点,将代码放在最后。

方案1:
  方案介绍:
    手工修改Ognl.jar源码,增加恶意代码过滤。此方法只能修补S2-016漏洞,但是对以后可能产生的ognl漏洞有预防作用。
  操作步骤:
    1.1 找到项目中ognl-version.jar,然后找到其对应的源码。把源码解压后,导入到eclipse。找到Ongl.java中修改如下代码:
    1.2 将上面修改后的项目通过eclipse导出为ognl-my.jar, 将它放到lib目录。
    1.3 删除原来ognl-version.jar
    1.4 重启服务器。

方案2:
  方案介绍:
    重写struts2 DefaultActionMapper的handleSpecialParameters方法,增加action、redirect、redirectAction等参数的过滤。此方法可修补S2-016、S2-017漏洞。
  操作步骤:
    2.1 新建com/website/struts2/MyDefaultActionMapper.java,代码如下:
    2.2 复制MyDefaultActionMapper.class 到 /com/website/struts2/目录。
    2.3 用struts.xml添加如下代码:
    2.4 重启服务器。

注意:
1.方案1中的“恶意代码”和方案2中的“action、redirect、redirectAction”均为hardcode,如有需要可改为从配置文件读取。
2.方案1原则上对系统没有影响,方案2进行了redirect和redirectAction可跳转性测试,但未进行全站测试。
3.方案1和方案2可以同时执行,也可只执行单独一个。

 

附件:

Ognl.java

复制代码
public static Object parseExpression(String expression)
        throws OgnlException {
    // -- jason.zhou 20130718 add start -- // 
    // Runtime、ProcessBuilder为恶意代码,其它可自行添加
    String evalMethod[] = { "Runtime", "ProcessBuilder" };
    String methodString = null;
    methodString = expression.toLowerCase();
    for (int i = 0; i < evalMethod.length; i++) {
        if (methodString.indexOf(evalMethod[i].toLowerCase()) > -1) {
            System.out.print("|OGNL正在执行恶意语句|" + methodString + "|看到这个消息,请联系安全工程师!!!");
            return null;
        }
    } 
    // -- jason.zhou 20130718 add start -- // 

    try {
        OgnlParser parser = new OgnlParser(new StringReader(expression));
        return parser.topLevelExpression();
    } catch (ParseException e) {
        throw new ExpressionSyntaxException(expression, e);
    } catch (TokenMgrError e) {
        throw new ExpressionSyntaxException(expression, e);
    }
}
复制代码

 

 MyDefaultActionMapper.java

复制代码
/**
 * zhounenghua@163.com copyright
 */
package com.website.struts2;

/**
 * @author jason.zhou
 * @date 2013-7-18
 */
public class MyDefaultActionMapper extends DefaultActionMapper {
    public void handleSpecialParameters(HttpServletRequest request, ActionMapping mapping) {
        Set uniqueParameters = new HashSet();
        Map parameterMap = request.getParameterMap();
        for (Iterator iterator = parameterMap.keySet().iterator(); iterator.hasNext();) {
            String key = (String) iterator.next();

            if ((key.endsWith(".x")) || (key.endsWith(".y"))) {
                key = key.substring(0, key.length() - 2);
            }

            // -- jason.zhou 20130708 add start -- //
            if ((key.contains("redirect:")) || (key.contains("redirectAction:")) || (key.contains("action:"))) {
                return;
            }
            // -- jason.zhou 20130708 add end -- //
            
            if (!uniqueParameters.contains(key)) {
                ParameterAction parameterAction = (ParameterAction) this.prefixTrie.get(key);
                if (parameterAction != null) {
                    parameterAction.execute(key, mapping);
                    uniqueParameters.add(key);
                    break;
                }
            }
        }
    }
}
复制代码

 

struts.xml

<!-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper -->  
<bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class="com.website.struts2.MyDefaultActionMapper" />     
<constant name="struts.mapper.class" value="myDefaultActionMapper" />

 本文代码有参考如下网址:http://www.inbreak.net/archives/507


很严重的漏洞啊,要引起注意了。。。
返回顶楼
          回帖地址
0 请登录后投票
  • mlw2000
  • 等级: 初级会员
  • 性别:
  • 文章: 139
  • 积分: 60
  • 来自: 深圳
   发表时间:2013-07-19   最后修改:2013-07-19
这样如果参数中包含“system”、“runtime”、“ProcessBuilder”会被误伤,不如直接修改OgnlRuntime.getMethodAccessor(),把这三个类的注册禁止掉更好。
返回顶楼
          回帖地址
0 请登录后投票
  • sushi0k
  • 等级: 初级会员
  • 性别:
  • 文章: 1
  • 积分: 30
  • 来自: 桂林
   发表时间:2013-07-20  
我把原来的Struts2.1.8升级到Struts2.3.15.1的时候遇到了一下问题,找不到解决办法:

在原来的项目中删除的包有:
asm-commons-2.2.3.jar
Commons-fileupload-1.2.jar
Commons-io-1.3.2.jar
Commons-logging-1.0.4.jar
Ognl-2.7.3.jar
Struts2-core-2.1.8.jar
Struts2-json-plugin-2.1.8.jar
Struts2-junit-plugin-2.2.1.jar
Struts2-spring-plugin-2.2.1.jar
Xwork-core-2.1.6.jar

新加进来的包有:
Asm-3.3.jar
Asm-commons-3.3.jar
Commons-fileupload-1.3.jar
Commons-io-2.0.1.jar
Commons-lang-2.4.jar
Commons-lang3-3.1.jar
Commons-logging-1.1.3.jar
Javassist-3.11.0.GA.jar
Ognl-3.0.6.jar
Struts2-core-2.3.15.1.jar
Struts2-json-plugin-2.3.15.1.jar
Struts2-junit-plugin-2.3.15.1.jar
Struts2-spring-plugin-2.3.15.1.jar
Xwork-core-2.3.15.1.jar

项目正常运行。
--------------------------------------------------------
遇到的问题,这个问题在版本更新之前是没有的:
路径A能够正常访问:
http://192.168.0.87/wx/wxtest.html?keyword=asdasd

对路径A进行了urlrewrite配置,如下: 
<rule>
    <from>/wx/wxtest/(.*).html?(.*)</from>
    <to type="redirect">/wx/wxtest.html?keyword=$1&amp;asd=$2</to> 
</rule>


访问地址B测试:
http://192.168.0.87/wx/wxtest/aaa.html?bbb

参数keyword=aaa
参数asd=null

问题分析:进行urlrewrite配置后,请求路径中?后面的数据被过滤掉使Action不能正常获取。
但是没进行urlrewrite配置的路径中?后面的参数整个正常传递到Action。

不知道是哪里的问题?





返回顶楼
          回帖地址
0 请登录后投票
  • chinahnzhou
  • 等级: 初级会员
  • 性别:
  • 文章: 14
  • 积分: 40
  • 来自: 深圳
   发表时间:2013-07-21  
sushi0k 写道
我把原来的Struts2.1.8升级到Struts2.3.15.1的时候遇到了一下问题,找不到解决办法:

在原来的项目中删除的包有:
asm-commons-2.2.3.jar
Commons-fileupload-1.2.jar
Commons-io-1.3.2.jar
Commons-logging-1.0.4.jar
Ognl-2.7.3.jar
Struts2-core-2.1.8.jar
Struts2-json-plugin-2.1.8.jar
Struts2-junit-plugin-2.2.1.jar
Struts2-spring-plugin-2.2.1.jar
Xwork-core-2.1.6.jar

新加进来的包有:
Asm-3.3.jar
Asm-commons-3.3.jar
Commons-fileupload-1.3.jar
Commons-io-2.0.1.jar
Commons-lang-2.4.jar
Commons-lang3-3.1.jar
Commons-logging-1.1.3.jar
Javassist-3.11.0.GA.jar
Ognl-3.0.6.jar
Struts2-core-2.3.15.1.jar
Struts2-json-plugin-2.3.15.1.jar
Struts2-junit-plugin-2.3.15.1.jar
Struts2-spring-plugin-2.3.15.1.jar
Xwork-core-2.3.15.1.jar

项目正常运行。
--------------------------------------------------------
遇到的问题,这个问题在版本更新之前是没有的:
路径A能够正常访问:
http://192.168.0.87/wx/wxtest.html?keyword=asdasd

对路径A进行了urlrewrite配置,如下: 
<rule>
    <from>/wx/wxtest/(.*).html?(.*)</from>
    <to type="redirect">/wx/wxtest.html?keyword=$1&amp;asd=$2</to> 
</rule>


访问地址B测试:
http://192.168.0.87/wx/wxtest/aaa.html?bbb

参数keyword=aaa
参数asd=null

问题分析:进行urlrewrite配置后,请求路径中?后面的数据被过滤掉使Action不能正常获取。
但是没进行urlrewrite配置的路径中?后面的参数整个正常传递到Action。

不知道是哪里的问题?






加上源码,debug进去看看。
返回顶楼
          回帖地址
0 请登录后投票
  • chinahnzhou
  • 等级: 初级会员
  • 性别:
  • 文章: 14
  • 积分: 40
  • 来自: 深圳
   发表时间:2013-07-21  
mlw2000 写道
这样如果参数中包含“system”、“runtime”、“ProcessBuilder”会被误伤,不如直接修改OgnlRuntime.getMethodAccessor(),把这三个类的注册禁止掉更好。

和方案1差不多噻
返回顶楼
          回帖地址
0 请登录后投票
  • mlw2000
  • 等级: 初级会员
  • 性别:
  • 文章: 139
  • 积分: 60
  • 来自: 深圳
   发表时间:2013-07-22  
chinahnzhou 写道
mlw2000 写道
这样如果参数中包含“system”、“runtime”、“ProcessBuilder”会被误伤,不如直接修改OgnlRuntime.getMethodAccessor(),把这三个类的注册禁止掉更好。

和方案1差不多噻

方案一的缺点是:你的参数里不能包含任何system、runtime字符串,导致误杀,例如http://host/x.action?system=11&xsystem=22
返回顶楼
          回帖地址
0 请登录后投票
  • downpour
  • 等级: 五钻会员
  • 性别:
  • 文章: 1516
  • 积分: 2448
  • 来自: 上海
   发表时间:2013-07-23  
Struts2的漏洞是OGNL造成的,这很早就有定论,只要使用OGNL,类似的漏洞会不断爆出。

我觉得这些所谓的灾难日,都是瞎胡闹,和公司的运维在吃屎有关。
返回顶楼
          回帖地址
1 请登录后投票
  • ak478288
  • 等级: 一星会员
  • 性别:
  • 文章: 129
  • 积分: 106
  • 来自: 北京
   发表时间:2013-07-25  
downpour 写道
Struts2的漏洞是OGNL造成的,这很早就有定论,只要使用OGNL,类似的漏洞会不断爆出。

我觉得这些所谓的灾难日,都是瞎胡闹,和公司的运维在吃屎有关。


完全同意。
返回顶楼
          回帖地址
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics