Struts2再曝S2-020补丁绕过漏洞–万恶的正则表达式

安全 漏洞
4月24日,网络曝出文章“安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。”

4月24日,网络曝出文章“安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。”

[[112195]]

受影响产品:

Struts 2.0.0 – Struts 2.3.16.1

成因与威胁:

Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器下的Java Class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。

让我们一起来回顾一下Struts缝缝补补的历史(万恶的正则表达式):

2007年1月:

<param name="excludeParams">dojo\..*</param>

2008年6月:

<param name="excludeParams">dojo\..*,^struts\..*</param>

2012年3月:

<param name="excludeParams">
dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*
</param>

2013年10月:

<param name="excludeParams">
^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>

2014年3月(S2-020):

<param name="excludeParams">
^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>

漏洞详情:Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。

修复方式:将 '^class\.*'添加到excludeParams列表内

2014年4月……

Struts2再曝S2-020补丁绕过漏洞–万恶的正则表达式

从目前公布的信息来看,这个漏洞的局限性很高,利用范围仍然有限。

目前官方在GitHub上对该问题做出了修正(临时)。

代码修复详情:

https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92

core/src/main/resources/struts-default.xml

- <param name="excludeParams">

^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

</param>
+ <param name="excludeParams">

(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

</param>

请注意多处都要修改。

在4月24日下午,又有同学贴出了终极修改方案:

修改struts源码

com.opensymphony.xwork2.interceptor.ParametersInterceptor

将此处代码:

  1. public void setExcludeParams(String commaDelim) {  
  2.       Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);  
  3.       if (excludePatterns != null) {  
  4.           excludeParams = new HashSet<Pattern>();  
  5.           for (String pattern : excludePatterns) {  
  6.               excludeParams.add(Pattern.compile(pattern));  
  7.           }  
  8.       }  
  9.   } 

修改为:

  1. public void setExcludeParams(String commaDelim) {  
  2.        Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);  
  3.        if (excludePatterns != null) {  
  4.            excludeParams = new HashSet<Pattern>();  
  5.            for (String pattern : excludePatterns) {  
  6.                excludeParams.add(Pattern.compile(pattern));  
  7.            }  
  8.        }  
  9.        //s021 zhenzheteng  
  10.        Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE);  
  11.        Pattern s021_2 = Pattern.compile(".*'class&'.*",Pattern.CASE_INSENSITIVE);  
  12.        Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE);  
  13.        excludeParams.add(s021_1);  
  14.        excludeParams.add(s021_2);  
  15.        excludeParams.add(s021_3);  
  16.    } 

Struts历史漏洞回顾:

S2-020: http://struts.apache.org/release/2.3.x/docs/s2-020.html

S2-019的远程代码执行漏洞: http://sebug.net/vuldb/ssvid-61048

S2-016官方补丁分析:http://www.freebuf.com/articles/web/11234.html

S2-013的漏洞分析:http://www.freebuf.com/vuls/9757.html

Struts2最近几个漏洞分析&稳定利用Payload: http://www.freebuf.com/articles/web/25337.html

希望Struts官方能在爆出漏洞的第一时间完美的堵上…..

另外关于S2-020:http://sec.baidu.com/index.php?research/detail/id/18

参考:

apache:http://struts.apache.org/release/2.3.x/docs/s2-020.html

cnvd:http://www.cnvd.org.cn/webinfo/show/3427

piyolog:http://d.hatena.ne.jp/Kango/20140417/139775019

scutum:http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html

ipa.jp:http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

空虚浪子心的博客:http://www.inbreak.net/

还有各路微博……

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2012-12-18 16:38:26

2016-06-08 10:09:24

2012-03-08 13:15:10

JavaStrutsOGNL

2016-03-22 12:37:45

Struts2Struts2漏洞漏洞检测

2013-05-22 10:28:19

2018-09-27 15:25:08

正则表达式前端

2014-04-24 15:30:48

2020-09-04 09:16:04

Python正则表达式虚拟机

2017-07-11 09:42:22

漏洞

2016-11-10 16:21:22

Java 正则表达式

2009-09-16 17:15:57

正则表达式引擎

2022-01-04 11:35:03

Linux Shel正则表达式Linux

2023-09-13 08:12:45

2010-03-25 18:25:36

Python正则表达式

2009-08-07 14:24:31

.NET正则表达式

2017-05-12 10:47:45

Linux正则表达式程序基础

2019-07-17 15:45:47

正则表达式字符串前端

2021-01-27 11:34:19

Python正则表达式字符串

2011-06-02 12:34:16

正则表达式

2009-09-16 18:19:34

正则表达式组
点赞
收藏

51CTO技术栈公众号