020补丁绕过漏洞 – 万恶的正则表达式

4月24日,网络曝出文章“安全研究人员指出Apache Struts2在漏洞公告S2-020里,在处理修复CVE-2014-0094的漏洞修补方案存在漏洞,导致补丁被完全绕过。”

推荐阅读:

Struts中异步传送XML和JSON类型的数据

Struts2的入门实例

受影响产品:

Struts 2.0.0 – Struts 2.3.16.1
成因与威胁:

Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器下的Java Class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。

让我们一起来回顾一下Struts缝缝补补的历史(万恶的正则表达式):

2007年1月:

<param>dojo\..*</param>

2008年6月:

<param>dojo\..*,^struts\..*</param>

2012年3月:

<param>dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*</param>

2013年10月:

<param>^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

2014年3月(S2-020):

<param>^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

漏洞详情:Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。

修复方式:将 '^class\.*'添加到excludeParams列表内

2014年4月……

020补丁绕过漏洞 – 万恶的正则表达式

从目前公布的信息来看,这个漏洞的局限性很高,利用范围仍然有限。

目前官方在GitHub上对该问题做出了修正(临时)。

代码修复详情:

core/src/main/resources/struts-default.xml - <param>^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param> + <param>(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

请注意多处都要修改。

在4月24日下午,又有同学贴出了终极修改方案:

修改struts源码

com.opensymphony.xwork2.interceptor.ParametersInterceptor

将此处代码:

public void setExcludeParams(String commaDelim) { Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim); if (excludePatterns != null) { excludeParams = new HashSet<Pattern>(); for (String pattern : excludePatterns) { excludeParams.add(Pattern.compile(pattern)); } } }

修改为:

public void setExcludeParams(String commaDelim) { Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim); if (excludePatterns != null) { excludeParams = new HashSet<Pattern>(); for (String pattern : excludePatterns) { excludeParams.add(Pattern.compile(pattern)); } } //s021 zhenzheteng Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE); Pattern s021_2 = Pattern.compile(".*'class&'.*",Pattern.CASE_INSENSITIVE); Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE); excludeParams.add(s021_1); excludeParams.add(s021_2); excludeParams.add(s021_3); }

Struts历史漏洞回顾:

S2-020:

S2-019的远程代码执行漏洞:

S2-016官方补丁分析:

S2-013的漏洞分析:

Struts2最近几个漏洞分析&稳定利用Payload:

希望Struts官方能在爆出漏洞的第一时间完美的堵上…..

另外关于S2-020:?research/detail/id/18

参考:

apache:
cnvd:

piyolog:

scutum:

ipa.jp:

空虚浪子心的博客:

还有各路微博……

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/4731043dd24936341e4ee2f3294e92c1.html