Apache Struts跨站请求伪造和拒绝服务漏洞

Apache Struts跨站请求伪造和拒绝服务漏洞

发布日期：2012-08-31
更新日期：2012-09-04

受影响系统：
Apache Group Struts 2.x
描述：
--------------------------------------------------------------------------------
Apache Struts是一款开发Java web应用程序的开源Web应用框架。

Apache Struts 2.3.4.1之前版本存在安全漏洞，可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。

1）令牌处理机制没有正确验证令牌名称配置参数，通过操作令牌值参数为会话属性值，该漏洞可被利用执行跨站请求伪造攻击。

2）在处理请求参数时的错误可被利用消耗CPU资源，通过包含OGNL表达式的参数名称可造成拒绝服务。

<*来源：James K. Williams
 
  链接：http://secunia.com/advisories/50420/
        http://struts.apache.org/2.x/docs/s2-010.html
        http://struts.apache.org/2.x/docs/s2-011.html
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（s2-010）以及相应补丁:
s2-010：Apache Struts 2 Documentation

链接：http://struts.apache.org/2.x/docs/s2-010.html