您好,欢迎访问中国矿业大学徐海学院图文信息中心网站
服务指南
关于Apache Struts 2拒绝服务漏洞(CVE-2023-34149)的预警提示
发布时间:2023-06-19
作者: 图文信息中心
浏览次数:10

一、漏洞详情

Apache Struts是一个免费、开源的MVC框架,用于创建Java Web应用程序。

Apache发布安全公告,修复了Struts 2中的两个拒绝服务漏洞:

CVE-2023-34149Apache Struts 2拒绝服务漏洞(S2-063

Apache Struts 2中,先前向XWorkListPropertyAccessor 添加了autoGrowCollectionLimit,但它只处理setProperty()而不处理getProperty()。如果开发人员已将底层Collection类型字段的 CreateIfNull设置为true,可能会由于未正确检查列表边界而导致OOM(内存耗尽),造成拒绝服务。

CVE-2023-34396Apache Struts 2拒绝服务漏洞(S2-064

Apache Struts 2多个受影响版本中,当多部分请求具有非文件标准格式字段时,Struts会将它们作为字符串放入内存,而不检查它们的大小。如果开发人员将struts.multipart.maxSize设置为等于或大于可用内存的值,则可能导致OOM,造成拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Struts <=2.5.30

Apache Struts <=6.1.2

三、修复建议

目前这些漏洞已经修复,受影响用户可更新到Apache Struts 2.5.316.1.2.1或更高版本。


服务指南
热门栏目
中国矿业大学徐海学院 版权所有 Copyright © 2019 All Rights Reserved. 苏公网安备 32031202000355号  苏ICP备10207513号