HPE的兩名安全專家(Yevgeniy Grushka和Alvaro Munoz)發現Apache Strust2的REST外掛程式中存在DoS漏洞。如果您在Struts REST外掛程式中使用XStream類庫處理常式,攻擊者可以構造惡意的XML請求發起DoS攻擊。

漏洞編號

CVE-2018-1327

漏洞名稱

Apache Struts2 REST外掛程式DoS漏洞(S2-056)

漏洞描述

S2-056漏洞存在於Apache Struts2的REST外掛程式中。當使用XStream組件對XML格式的資料包進行還原序列化操作,且未對資料內容進行有效驗證時,攻擊者可通過提交惡意的XML資料對應用發起遠程DoS攻擊。

當惡意攻擊者發起大量攻擊請求時,您的應用所在伺服器的CPU資源將被迅速佔滿。

關於該漏洞更多資訊,請查看官方漏洞公告

影響範圍

Struts 2.1.1 - Struts 2.5.14.1

官方解決方案

將您的Apache Struts升級至2.5.16版本。

防護建議

如果您暫時不希望通過升級Apache Struts版本解決該漏洞,建議您使用Web Application Firewall的精準存取控制和CC攻擊自訂規則功能對您的業務進行防護。

  • 通過精準存取控制功能,限制包含特定XML資料(com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource)的POST請求,阻斷利用該漏洞發起的DoS攻擊請求。例如,配置以下規則阻斷在Apache Strust的REST外掛程式中使用XStream類庫應用頁面的攻擊請求。

  • 通過CC攻擊防護自訂功能,限制同一個IP對在Apache Strust的REST外掛程式中使用XStream類庫的應用頁面的請求頻率。例如,配置以下規則限制對指定頁面的請求頻率不超過每5秒100次。

關於精準存取控制和CC攻擊防護自訂規則的功能介紹,請查看精準存取控制自訂CC防護