HPE的两名安全专家（Yevgeniy Grushka和Alvaro Munoz）发现Apache Strust2的REST插件中存在DoS漏洞。如果您在Struts REST插件中使用XStream类库处理程序，攻击者可以构造恶意的XML请求发起DoS攻击。

漏洞编号

CVE-2018-1327

漏洞名称

Apache Struts2 REST插件DoS漏洞（S2-056）

漏洞描述

S2-056漏洞存在于Apache Struts2的REST插件中。当使用XStream组件对XML格式的数据包进行反序列化操作，且未对数据内容进行有效验证时，攻击者可通过提交恶意的XML数据对应用发起远程DoS攻击。

当恶意攻击者发起大量攻击请求时，您的应用所在服务器的CPU资源将被迅速占满。
 

关于该漏洞更多信息，请查看官方漏洞公告。

影响范围

Struts 2.1.1 - Struts 2.5.14.1

官方解决方案

将您的Apache Struts升级至2.5.16版本。

防护建议

如果您暂时不希望通过升级Apache Struts版本解决该漏洞，建议您使用Web应用防火墙的精准访问控制和CC攻击自定义规则功能对您的业务进行防护。

通过精准访问控制功能，限制包含特定XML数据（com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource）的POST请求，阻断利用该漏洞发起的DoS攻击请求。例如，配置以下规则阻断在Apache Strust的REST插件中使用XStream类库应用页面的攻击请求。
 

通过CC攻击防护自定义功能，限制同一个IP对在Apache Strust的REST插件中使用XStream类库的应用页面的请求频率。例如，配置以下规则限制对指定页面的请求频率不超过每5秒100次。
转自：https://help.aliyun.com/document_detail/72057.html