关于Apache Struts 2拒绝服务漏洞(CVE-2023-34149)的预警提示

发布者:信息化建设与管理中心发布时间:2023-07-14浏览次数:748


一、漏洞详情

Apache Struts是一个免费、开源的MVC框架,用于创建Java Web应用程序。

Apache发布安全公告,修复了Struts 2中的两个拒绝服务漏洞:

CVE-2023-34149Apache Struts 2拒绝服务漏洞(S2-063

Apache Struts 2中,先前向XWorkListPropertyAccessor 添加了autoGrowCollectionLimit,但它只处理setProperty()而不处理getProperty()。如果开发人员已将底层Collection类型字段的CreateIfNull设置为true,可能会由于未正确检查列表边界而导致OOM(内存耗尽),造成拒绝服务。

CVE-2023-34396Apache Struts 2拒绝服务漏洞(S2-064

Apache Struts 2多个受影响版本中,当多部分请求具有非文件标准格式字段时,Struts会将它们作为字符串放入内存,而不检查它们的大小。如果开发人员将struts.multipart.maxSize设置为等于或大于可用内存的值,则可能导致OOM,造成拒绝服务。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Struts <=2.5.30

Apache Struts <=6.1.2

三、修复建议

  目前这些漏洞已经修复,受影响用户可更新到Apache Struts 2.5.316.1.2.1或更高版本。