CVE­-2017­-5638 測試與修補

最近有個很狂的漏洞,CVE­-2017­-5638,也有人很快的發出PoC,https://github.com/tengzhangchao/Struts2_045-Poc,大家如果有使用Struts版本介於2.3.5 ­- 2.3.31,  2.5 – 2.5.10的朋友,一定要趕快去更新,這裡會簡單的實作測試與修補的步驟,祝福大家身心健康萬事如意闔家平安準時下班。

我有一個網頁,我有一組帳號

俄摁

來試試用CVE­-2017­-5638

得到shell啦!! 所以這個漏洞有多可怕,是不是應該趕快更新版本。

這邊呢! 是使用maven來編譯我的war檔的,所以就修改pom.xml中struts2-core的版本

這個是一個helloworld的專案,原始碼可以在這邊下載到,

http://www.mkyong.com/wp-content/uploads/2010/06/Struts2-Hello-World-Example.zip

改好之後就編譯好,再佈署到測試環境測試一下所有功能,

 

登入看看

看起來沒啥問題,那漏洞呢?

好了,看起來不受CVE-2017-5638的影響了

在險惡的社會中還是存在的無數的零日漏洞

平時還是養成多備份多關心資安新聞的習慣才能把風險降低

祝福大家都可以準時下班喔 >_^

[撰文 Eric]

對資訊安全有興趣的朋友,歡迎至我們Facebook官方粉絲頁按讚並且分享喔!
有任何最新的活動訊息,我們都將第一時間張貼於Facebook官方粉絲頁ISDA官方網站