新闻资讯

关于自查各网站及信息系统中Struts 2漏洞的通知

时间：2017-03-08 西安交通大学网络信息中心

学校各部门：

近日，J2EE框架-Struts2被发现存在远程代码执行的严重漏洞。我校多数网站使用该开发框架开发，为避免安全事件发生，请各部门及时检查各自网站及信息系统，对存在漏洞的系统及时修复。

影响范围：Apache struts 版本 2.3.5 至 2.3.31，以及版本 2.5 至 2.5.10

解决方案：

1、严格过滤 Content-Type 里的内容，严禁ognl表达式相关字段。

2、Apache Struts官方已在发布的新的版本中修复了该漏洞，建议使用Jakarta Multipart parser模块的用户升级到Apache Struts版本2.3.32或2.5.10.1。补丁链接：https://cwiki.apache.org/confluence/display/WW/S2-045

网络中心

2017年3月7日