HPE的两名安全专家(Yevgeniy Grushka和Alvaro Munoz)发现Apache Strust2的REST插件中存在DoS漏洞。如果您在Struts REST插件中使用XStream类库处理程序,攻击者可以构造恶意的XML请求发起DoS攻击。
漏洞编号
CVE-2018-1327
漏洞名称
Apache Struts2 REST插件DoS漏洞(S2-056)
漏洞描述
S2-056漏洞存在于Apache Struts2的REST插件中。当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意的XML数据对应用发起远程DoS攻击。
当恶意攻击者发起大量攻击请求时,您的应用所在服务器的CPU资源将被迅速占满。
关于该漏洞更多信息,请参见官方漏洞公告。
影响范围
Struts 2.1.1 - Struts 2.5.14.1
官方解决方案
将您的Apache Struts升级至2.5.16版本。
防护建议
如果您暂时不希望通过升级Apache Struts版本解决该漏洞,建议您使用Web应用防火墙的自定义ACL访问控制规则和自定义CC攻击防护规则对您的业务进行防护。
- 通过自定义ACL访问控制规则,限制包含特定XML数据(
com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource)的POST请求,阻断利用该漏洞发起的DoS攻击请求。例如,配置以下规则阻断在Apache Strust的REST插件中使用XStream类库应用页面的攻击请求。
- 通过自定义CC攻击防护规则,限制同一个IP对在Apache Strust的REST插件中使用XStream类库的应用页面的请求频率。例如,配置以下规则限制对指定页面的请求频率不超过每5秒100次。
关于自定义ACL访问控制规则和自定义CC攻击防护规则的相关操作,请参见设置自定义防护策略。
更多信息
安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击。更多信息,请参见安全管家服务。