HPE的两名安全专家(Yevgeniy Grushka和Alvaro Munoz)发现Apache Strust2的REST插件中存在DoS漏洞。如果您在Struts REST插件中使用XStream类库处理程序,攻击者可以构造恶意的XML请求发起DoS攻击。

漏洞编号

CVE-2018-1327

漏洞名称

Apache Struts2 REST插件DoS漏洞(S2-056)

漏洞描述

S2-056漏洞存在于Apache Struts2的REST插件中。当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意的XML数据对应用发起远程DoS攻击。

当恶意攻击者发起大量攻击请求时,您的应用所在服务器的CPU资源将被迅速占满。orders

关于该漏洞更多信息,请参见官方漏洞公告

影响范围

Struts 2.1.1 - Struts 2.5.14.1

官方解决方案

将您的Apache Struts升级至2.5.16版本。

防护建议

如果您暂时不希望通过升级Apache Struts版本解决该漏洞,建议您使用Web应用防火墙的自定义ACL访问控制规则和自定义CC攻击防护规则对您的业务进行防护。

  • 通过自定义ACL访问控制规则,限制包含特定XML数据(com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource)的POST请求,阻断利用该漏洞发起的DoS攻击请求。例如,配置以下规则阻断在Apache Strust的REST插件中使用XStream类库应用页面的攻击请求。acl-orders
  • 通过自定义CC攻击防护规则,限制同一个IP对在Apache Strust的REST插件中使用XStream类库的应用页面的请求频率。例如,配置以下规则限制对指定页面的请求频率不超过每5秒100次。cc-orders

关于自定义ACL访问控制规则和自定义CC攻击防护规则的相关操作,请参见设置自定义防护策略

更多信息

安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击。更多信息,请参见安全管家服务