Struts2再曝S2-020補丁繞過漏洞–萬惡的正則表達式
4月24日,網絡曝出文章“安全研究人員指出Apache Struts2在漏洞公告S2-020里,在處理修復CVE-2014-0094的漏洞修補方案存在漏洞,導致補丁被完全繞過。”
受影響產品:
Struts 2.0.0 – Struts 2.3.16.1
成因與威脅:
Apache Struts 2.0.0-2.3.16版本的默認上傳機制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允許訪問'class' 參數(該參數直接映射到getClass()方法),并允許控制ClassLoader。在具體的Web容器部署環境下(如:Tomcat),攻擊者利用 Web容器下的Java Class對象及其屬性參數(如:日志存儲參數),可向服務器發起遠程代碼執行攻擊,進而植入網站后門控制網站服務器主機。
讓我們一起來回顧一下Struts縫縫補補的歷史(萬惡的正則表達式):
2007年1月:
<param name="excludeParams">dojo\..*</param>
2008年6月:
<param name="excludeParams">dojo\..*,^struts\..*</param>
2012年3月:
<param name="excludeParams"> dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...* </param>
2013年10月:
<param name="excludeParams"> ^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.* </param>
2014年3月(S2-020):
<param name="excludeParams"> ^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.* </param>
漏洞詳情:Struts 2.3.15.1之前的版本,參數action的值redirect以及redirectAction沒有正確過濾,導致ognl代碼執行。
修復方式:將 '^class\.*'添加到excludeParams列表內
2014年4月……
從目前公布的信息來看,這個漏洞的局限性很高,利用范圍仍然有限。
目前官方在GitHub上對該問題做出了修正(臨時)。
代碼修復詳情:
https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92
core/src/main/resources/struts-default.xml
- <param name="excludeParams">
^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>
+ <param name="excludeParams">(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>
請注意多處都要修改。
在4月24日下午,又有同學貼出了終極修改方案:
修改struts源碼
com.opensymphony.xwork2.interceptor.ParametersInterceptor
將此處代碼:
- public void setExcludeParams(String commaDelim) {
- Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);
- if (excludePatterns != null) {
- excludeParams = new HashSet<Pattern>();
- for (String pattern : excludePatterns) {
- excludeParams.add(Pattern.compile(pattern));
- }
- }
- }
修改為:
- public void setExcludeParams(String commaDelim) {
- Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);
- if (excludePatterns != null) {
- excludeParams = new HashSet<Pattern>();
- for (String pattern : excludePatterns) {
- excludeParams.add(Pattern.compile(pattern));
- }
- }
- //s021 zhenzheteng
- Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE);
- Pattern s021_2 = Pattern.compile(".*'class&'.*",Pattern.CASE_INSENSITIVE);
- Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE);
- excludeParams.add(s021_1);
- excludeParams.add(s021_2);
- excludeParams.add(s021_3);
- }
Struts歷史漏洞回顧:
S2-020: http://struts.apache.org/release/2.3.x/docs/s2-020.html
S2-019的遠程代碼執行漏洞: http://sebug.net/vuldb/ssvid-61048
S2-016官方補丁分析:http://www.freebuf.com/articles/web/11234.html
S2-013的漏洞分析:http://www.freebuf.com/vuls/9757.html
Struts2最近幾個漏洞分析&穩定利用Payload: http://www.freebuf.com/articles/web/25337.html
希望Struts官方能在爆出漏洞的第一時間完美的堵上…..
另外關于S2-020:http://sec.baidu.com/index.php?research/detail/id/18
參考:
apache:http://struts.apache.org/release/2.3.x/docs/s2-020.html
cnvd:http://www.cnvd.org.cn/webinfo/show/3427
piyolog:http://d.hatena.ne.jp/Kango/20140417/139775019
scutum:http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html
ipa.jp:http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html
空虛浪子心的博客:http://www.inbreak.net/
還有各路微博……
