一、漏洞详情
Apache Struts是一个免费、开源的MVC框架,用于创建Java Web应用程序。
Apache发布安全公告,修复了Struts 2中的两个拒绝服务漏洞:
CVE-2023-34149:Apache Struts 2拒绝服务漏洞(S2-063)
Apache Struts 2中,先前向XWorkListPropertyAccessor 添加了autoGrowCollectionLimit,但它只处理setProperty()而不处理getProperty()。如果开发人员已将底层Collection类型字段的 CreateIfNull设置为true,可能会由于未正确检查列表边界而导致OOM(内存耗尽),造成拒绝服务。
CVE-2023-34396:Apache Struts 2拒绝服务漏洞(S2-064)
Apache Struts 2多个受影响版本中,当多部分请求具有非文件标准格式字段时,Struts会将它们作为字符串放入内存,而不检查它们的大小。如果开发人员将struts.multipart.maxSize设置为等于或大于可用内存的值,则可能导致OOM,造成拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Struts <=2.5.30
Apache Struts <=6.1.2
三、修复建议
目前这些漏洞已经修复,受影响用户可更新到Apache Struts 2.5.31、6.1.2.1或更高版本。