Apache Struts ActionServlet.java任意代码执行漏洞（CVE-2016-1181）

Apache Struts ActionServlet.java任意代码执行漏洞（CVE-2016-1181）
发布日期：2016-07-04
更新日期：2016-07-05

受影响系统：

Apache Group Struts 1 1.x - 1.3.10

描述：

CVE（CAN） ID: CVE-2016-1181

Struts是用于构建Web应用的开放源码。

Apache Struts 1 1.x - 1.3.10版本，ActionServlet.java错误处理了多线程访问ActionForm实例，远程攻击者通过构造的请求，可执行任意代码或造成拒绝服务。

<*来源：vendor
*>

建议：

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/kawasima/struts1-forever/commit/eda3a79907ed8fcb0387a0496d0cb14332f250e8

https://security-tracker.debian.org/tracker/CVE-2016-1181

https://bugzilla.redhat.com/show_bug.cgi？id=1343538