Apache Struts跨站请求伪造和拒绝服务漏洞

发布日期：2012-08-31
更新日期：2012-09-04受影响系统：
Apache Group Struts 2.x
描述：
--------------------------------------------------------------------------------
Apache Struts是一款开发Java web应用程序的开源Web应用框架。Apache Struts 2.3.4.1之前版本存在安全漏洞，可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。1）令牌处理机制没有正确验证令牌名称配置参数，通过操作令牌值参数为会话属性值，该漏洞可被利用执行跨站请求伪造攻击。2）在处理请求参数时的错误可被利用消耗CPU资源，通过包含OGNL表达式的参数名称可造成拒绝服务。<*来源：James K. Williams

链接：http://secunia.com/advisories/50420/
http://struts.apache.org/2.x/docs/s2-010.html
http://struts.apache.org/2.x/docs/s2-011.html
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Apache Group
------------
Apache Group已经为此发布了一个安全公告（s2-010）以及相应补丁:
s2-010：Apache Struts 2 Documentation链接：http://struts.apache.org/2.x/docs/s2-010.htmlMozilla Firefox/Thunderbird/SeaMonkey XSLT信息泄露漏洞Mozilla Firefox调试程序安全限制绕过漏洞相关资讯拒绝服务漏洞

数字签名拒绝服务漏洞（CVE-2013- （11/13/2013 12:25:03）
Intel 82574L Gigabit Ethernet （03/01/2013 21:09:03）
Wireshark DTN Dissector 拒绝服务（02/03/2013 10:37:43）

Rockwell Automation FactoryTalk （04/10/2013 09:08:12）
IBM WebSphere Message Broker多个（03/01/2013 21:04:45）
HP XP P9000 Command View （02/03/2013 10:36:32）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论