近日，国家信息安全漏洞共享平台（CNVD）收录了 Apache Struts2的两个中危漏洞，分别是：S2-054拒绝服务漏洞（CNVD-2017-35898，对CVE-2017-15707），S2-055反序列化漏洞（CNVD-2017-27693，对应CVE-2017-7525）。攻击者可利用上述漏洞对目标系统进行Dos攻击或反序列化代码执行攻击。

        一、漏洞情况分析

        2017年12月1日，Apache Strusts 官方发布了Struts2的两个中危漏洞，漏洞信息如下：

        S2-054拒绝服务漏洞：Apache Struts REST插件使用了过时的JSON-lib库，击者可以通过构造特制的JSON恶意请求造成DOS攻击。

         S2-055反序列化漏洞：由于Apache Struts调用了存在反序列化漏洞的Jackson JSON库，导致了反序列化漏洞的产生。

        CNVD对上述漏洞的综合评级为“中危”。其中FasterXML Jackson-databind存在远程代码执行漏洞在2017年8月1日，已被CNVD库收录（CNVD-2017-27693）。

        二、漏洞影响范围

        Struts 2.5 – Struts 2.5.14

        三、防护建议

        S2-054修复建议：

        方法一：升级到Apache Struts版本2.5.14.1。

        方法二：使用Jackson处理程序替换默认的JSON-lib处理程序，替换方法：

       http://struts.apache.org/plugins/rest/#use-jackson-framework-as-json-contenttypehandler

        S2-055修复建议：

        方法一：升级到Apache Struts版本2.5.14.1。

        方法二：手动将项目中的com.fasterxml.jackson升级到版本2.9.2，详情参考：https://github.com/FasterXML/jackson-databind/issues/1599#issuecomment-342983770 

        附：参考链接：

        https://cwiki.apache.org/confluence/display/WW/S2-054

        https://cwiki.apache.org/confluence/display/WW/S2-055 

        http://www.securityfocus.com/bid/99623

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-27693

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-35898