Struts2漏洞修复到2.3.15.1版本步骤

http://blog.csdn.net/spyjava/article/details/13766335

近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息，让我们这些从事javaweb软件开发，并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大，受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现，填入地址可直接执行服务器命令，读取数据甚至直接关机等操作...

我们的很多项目都是基于Struts2的，这也让我们必须对此做出及时正确的响应。及时升级Struts2是最快最能解决根本问题的方式。困难在于各个项目的Struts2原有版本都不尽相同。

本文记录Struts2-2.3.4升级到2.3.15.1并且最少化改动已有工程代码的情况下的步骤

1.删除的jar包
jsonplugin-0.30.jar（此jar由struts2-json-plugin-2.3.15.1.jar代替，如果以前采用过其他jsonplugin插件的话）

2.添加的jar包
commons-lang3-3.1.jar
struts2-json-plugin-2.3.15.1.jar

3.替换的jar包
将原有低版本的ognl-x.x.x.jar替换为ognl-3.0.6.jar
将原有低版本的struts2-core-x.x.x.x.jar替换为struts2-core-2.3.15.1.jar
将原有低版本的xwork-core-x.x.x.x.jar替换为xwork-core-2.3.15.1.jar
将原有低版本的javassist-x.x.x.jar替换为javassist-3.11.0.GA.jar

4.xwork-conversion.properties
注释掉java.lang.Enum=com.opensymphony.xwork2.util.EnumTypeConverter

5.替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction",并将xml的头部信息修改为：

[html]  view plain copy

1. <!DOCTYPE struts PUBLIC  
2.     "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"  
3.     "http://struts.apache.org/dtds/struts-2.3.dtd">  

6.修改struts.xml中返回类型为json的处理类相关的配置。（如果你的工程原来采用的是其他的json类型处理插件的话）
将其中片段修改成如下状态：

[html]  view plain copy

1. <result-types>  
2.             <!-- 添加的自定义类型JSON对象 -->  
3.             <!-- 
4.                 <result-type name="json" class="com.googlecode.jsonplugin.JSONResult" /> 
5.             -->  
6.             <result-type name="json" class="org.apache.struts2.json.JSONResult" />  
7. </result-types>  

7.所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。（如果你的工程原来采用的是其他的json类型处理插件的话）

8.struts2标签库的升级
将原有的struts-tag.tld升级为最新。