一、 漏洞 CVE-2017-5638 基础信息

                                        # N/A

## 漏洞概述
Jakarta Multipart parser在处理文件上传时存在异常处理和错误消息生成的缺陷，允许远程攻击者通过精心设计的HTTP头（如Content-Type, Content-Disposition, 或 Content-Length）执行任意命令。

## 影响版本
- Apache Struts 2 2.3.x 版本低于2.3.32
- Apache Struts 2 2.5.x 版本低于2.5.10.1

## 细节
在文件上传过程中，受影响版本的Jakarta Multipart parser未能正确处理异常，导致错误消息生成存在问题。攻击者可以通过构造特定的HTTP头（特别是包含#cmd=字符串的Content-Type头），利用此缺陷执行任意命令。

## 影响
此漏洞曾于2017年3月被利用于野，在实际攻击中，攻击者通过精心设计的Content-Type头携带恶意指令成功执行了任意命令。
                                        

二、漏洞 CVE-2017-5638 的公开POC

三、漏洞 CVE-2017-5638 的情报信息

• https://isc.sans.edu/diary/22169x_refsource_MISC
• https://security.netapp.com/advisory/ntap-20170310-0001/x_refsource_CONFIRM
• https://github.com/rapid7/metasploit-framework/issues/8064x_refsource_MISC
• https://struts.apache.org/docs/s2-046.htmlx_refsource_CONFIRM

• 标题： Attention Required! | Cloudflare -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          - **Why have I been blocked?**
    - The website is using a security service to protect itself from online attacks. The action you performed triggered the security solution. Possible triggers include submitting a certain word or phrase, a SQL command, or malformed data.
  
  - **What can I do to resolve this?**
    - You can email the site owner to let them know you were blocked. Include what you were doing when the block occurred and the Cloudflare Ray ID provided.
  
  - **Key Information**
    - Cloudflare Ray ID: 99e34c0cacc40bb3
    - Your IP: Click to reveal
    - Performance & security by Cloudflare
                                          

  
• http://www.arubanetworks.com/assets/alert/ARUBA-PSA-2017-002.txtx_refsource_CONFIRM
• https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03723en_usx_refsource_CONFIRM
• https://www.symantec.com/security-center/network-protection-security-advisories/SA145x_refsource_CONFIRM
• https://cwiki.apache.org/confluence/display/WW/S2-046x_refsource_CONFIRM
• https://arstechnica.com/security/2017/03/critical-vulnerability-under-massive-attack-imperils-high-impact-sites/x_refsource_MISC
• http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-5638-apache-struts-vulnerability-remote-code-execution/x_refsource_MISC
• https://git1-us-west.apache.org/repos/asf?p=struts.git%3Ba=commit%3Bh=352306493971e7d5a756d61780d57a76eb1f519ax_refsource_CONFIRM
• https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03733en_usx_refsource_CONFIRM
• https://twitter.com/theog150/status/841146956135124993x_refsource_MISC
• https://packetstormsecurity.com/files/141494/S2-45-poc.py.txtx_refsource_MISC

• 标题： GitHub - mazen160/struts-pwn: An exploit for Apache Struts CVE-2017-5638 -- 🔗来源链接

  标签：x_refsource_MISC

  
• https://nmap.org/nsedoc/scripts/http-vuln-cve2017-5638.htmlx_refsource_MISC
• https://cwiki.apache.org/confluence/display/WW/S2-045x_refsource_CONFIRM
• https://struts.apache.org/docs/s2-045.htmlx_refsource_CONFIRM
• https://support.lenovo.com/us/en/product_security/len-14200x_refsource_CONFIRM
• https://h20566.www2.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbgn03749en_usx_refsource_CONFIRM
• http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.htmlx_refsource_MISC
• http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.htmlx_refsource_CONFIRM
• https://git1-us-west.apache.org/repos/asf?p=struts.git%3Ba=commit%3Bh=6b8272ce47160036ed120a48345d9aa884477228x_refsource_CONFIRM
• https://www.imperva.com/blog/2017/03/cve-2017-5638-new-remote-code-execution-rce-vulnerability-in-apache-struts-2/x_refsource_MISC
• https://www.exploit-db.com/exploits/41614/exploitx_refsource_EXPLOIT-DB

• 标题： Apache Struts 2.3.5 < 2.3.31 / 2.5 < 2.5.10 - Remote Code Execution - Linux webapps Exploit -- 🔗来源链接

  标签：exploitx_refsource_EXPLOIT-DB

  神龙速读：

                                          ### 漏洞关键信息
  
  - **漏洞描述**: Apache Struts 2版本2.3.5至2.3.31以及2.5至2.5.10存在远程代码执行漏洞。
  - **漏洞编号**: 
      - EDB-ID: 41570
      - CVE: 2017-5638
  - **漏洞类型**: WEBAPPS
  - **确认状态**: EDB已验证
  - **发布者**: Vex Woo
  - **平台**: Linux
  - **日期**: 2017-03-07
  - **利用代码**: Python脚本, 可从页面下载
  - **示例脚本用途**: 用于发送特定构造的multipart/form-data请求来执行指定命令
  - **标签**: 未明确给出，可从页面进一步提取
  - **信息来源**: 链接指向外部信息源
  
  ### 代码特性简述
  
  上述Python脚本利用了OGNL表达式注入的技术，向漏洞影响的Apache Struts 2应用发送特制请求，导致在服务器端执行任意命令。脚本设计可通过URL和要执行的命令作为参数执行。
                                          

  
• http://www.securityfocus.com/bid/96729vdb-entryx_refsource_BID
• http://www.securitytracker.com/id/1037973vdb-entryx_refsource_SECTRACK
• https://www.kb.cert.org/vuls/id/834067third-party-advisoryx_refsource_CERT-VN
• https://lists.apache.org/thread.html/r6d03e45b81eab03580cf7f8bb51cb3e9a1b10a2cc0c6a2d3cc92ed0c%40%3Cannounce.apache.org%3Emailing-listx_refsource_MLIST

• 标题： Apache Software Foundation Security Report: 2020-Apache Mail Archives -- 🔗来源链接

  标签：mailing-listx_refsource_MLIST

  神龙速读：

                                          ## 关键信息摘要
  
  ### 漏洞统计
  - **2020年总共收到18,000封邮件**
  - **经过垃圾邮件过滤和线程分组后，处理了946条非垃圾邮件线程（2019年为620条）**
  
  ### 漏洞报告分类
  - **27%的线程是关于Apache许可证的误解**
  - **23%的线程是关于非安全问题的支持请求**
  - **10%的线程是关于Apache网站的误报**
  
  ### 新报告的漏洞
  - **2020年共报告了376个新的漏洞（2019年为320个）**
  - **涉及101个顶级项目**
  
  ### 值得注意的事件
  - **Apache Tomcat的CVE-2020-1938（Ghostcat）**：引起媒体关注，但仅影响未受保护的AJP连接器
  - **Apache Struts2的CVE-2017-5638**：2017年披露的远程代码执行漏洞，2020年被利用
  - **Apache Guacamole的CVE-2020-9497和CVE-2020-9498**：涉及RDP相关问题
  - **Apache Struts的CVE-2019-0230**：可能导致任意代码执行
  
  ### 时间线
  - **分类：** 目标在三天内处理邮件
  - **调查：** 尝试在90天内完成分类和调查
  - 固定：依赖项目自身的发布时间表
  
  ### 其他
  - **2020年分配了151个CVE名称（2019年为122个）**
  - **ASF安全委员会与项目团队紧密合作，确保安全问题得到妥善处理**
                                          

  
• https://lists.apache.org/thread.html/r1125f3044a0946d1e7e6f125a6170b58d413ebd4a95157e4608041c7%40%3Cannounce.apache.org%3Emailing-listx_refsource_MLIST
• https://nvd.nist.gov/vuln/detail/CVE-2017-5638

四、漏洞 CVE-2017-5638 的评论