一、基本情况
Apache Struts 2存在拒绝服务漏洞,Apache Struts多个受影响版本中,当执行Multipart请求但某些字段超过maxStringLength 限制时,即使请求被拒绝,上传文件也会保留在struts.multipart.saveDir 中,可利用该漏洞导致磁盘使用过多,造成拒绝服务。
二、影响范围
Apache Struts 2.5.31
Apache Struts 6.1.2.1
Apache Struts 6.3.0
三、安全措施
(一)目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache Struts 2.5.32
Apache Struts 6.1.2.2
Apache Struts 6.3.0.1
下载链接:
https://struts.apache.org/download.cgi
(二)定期更新系统补丁,减少系统漏洞,提升服务器的安全性。加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将部分服务(如SSH、RDP等)暴露到公网,减少攻击面。
