Struts2.3.34 升级事项

最新推荐文章于 2018-07-19 18:08:09 发布
最新推荐文章于 2018-07-19 18:08:09 发布
阅读量4.6k 收藏 1
点赞数
分类专栏: 工作记录 文章标签: struts 2 升级 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013985879/article/details/77943831
版权

一 .
2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。
影响范围Struts 2.0.1 – Sturts 2.3.33    Struts 2.5 – Struts 2.5.10
漏洞描述
        在使用请求值时,如果值为表达式常量或强制转换表达式值为Freemarker标签,可能会导致远程代码执行。
        <@s.hidden name="redirectUri" value=redirectUri /> 
        <@s.hidden name="redirectUri" value="${redirectUri}" /> 
        以上两种情况下,value的属性都是可写的,在Freemarker的表达式中都可被利用。 
       
修复方案:
         1.用户应避免在Freemarker的结构代码中使用可写的属性,或者使用只读属性来初始化value属性(仅限getter属性)。
        2.安装官方补丁升级到最新版本:Struts 2.5.13,Struts 2.3.34
注意事项:官方表示,虽然新版本限制了Freemarker的配置属性,但是用户还是应该避免使用有问题的结构属性。


二.

<dependency>
   <groupId>org.apache.struts</groupId>
   <artifactId>struts2-core</artifactId>
   <version>2.3.34</version>
   <exclusions>
 <exclusion>
     <groupId>com.sun</groupId>
     <artifactId>tools</artifactId>
 </exclusion>
</exclusions>
</dependency>


2.1如果只是升级到2.3.34,抛出如下异常


2017-09-12 10:58:18,053  ERROR Dispatcher:38 - Dispatcher initialization failed
Unable to load configuration. - bean - jar:file:/D:/eclipse/workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp2/wtpwebapps/MobileOBT.WebService/WEB-INF/lib/struts2-core-2.3.34.jar!/struts-default.xml:71:157
at com.opensymphony.xwork2.config.ConfigurationManager.getConfiguration(ConfigurationManager.java:70)
at org.apache.struts2.dispatcher.Dispatcher.getContainer(Dispatcher.java:978)
at org.apache.struts2.dispatcher.Dispatcher.init_PreloadConfiguration(Dispatcher.java:446)
at org.apache.struts2.dispatcher.Dispatcher.init(Dispatcher.java:490)
at org.apache.struts2.dispatcher.ng.InitOperations.initDispatcher(InitOperations.java:74)
at org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.init(StrutsPrepareAndExecuteFilter.java:57)
at org.apache.catalina.core.ApplicationFilterConfig.getFilter(ApplicationFilterConfig.java:298)
at org.apache.catalina.core.ApplicationFilterConfig.<init>(ApplicationFilterConfig.java:119)
at org.apache.catalina.core.StandardContext.filterStart(StandardContext.java:4076)
at org.apache.catalina.core.StandardContext.start(StandardContext.java:4730)
at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1060)
at org.apache.catalina.core.StandardHost.start(StandardHost.java:822)
at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1060)
at org.apache.catalina.core.StandardEngine.start(StandardEngine.java:463)
at org.apache.catalina.core.StandardService.start(StandardService.java:525)
at org.apache.catalina.core.StandardServer.start(StandardServer.java:759)
at org.apache.catalina.startup.Catalina.start(Catalina.java:595)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:289)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:414)
Caused by: Unable to load bean: type:com.opensymphony.xwork2.factory.UnknownHandlerFactory class:com.opensymphony.xwork2.factory.DefaultUnknownHandlerFactory - bean - jar:file:/D:/eclipse/workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp2/wtpwebapps/MobileOBT.WebService/WEB-INF/lib/struts2-core-2.3.34.jar!/struts-default.xml:71:157
at com.opensymphony.xwork2.config.providers.XmlConfigurationProvider.register(XmlConfigurationProvider.java:245)
at org.apache.struts2.config.StrutsXmlConfigurationProvider.register(StrutsXmlConfigurationProvider.java:102)
at com.opensymphony.xwork2.config.impl.DefaultConfiguration.reloadContainer(DefaultConfiguration.java:234)
at com.opensymphony.xwork2.config.ConfigurationManager.getConfiguration(ConfigurationManager.java:67)
... 22 more
Caused by: java.lang.ClassNotFoundException: com.opensymphony.xwork2.factory.DefaultUnknownHandlerFactory
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1680)
at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1526)
at com.opensymphony.xwork2.util.ClassLoaderUtil.loadClass(ClassLoaderUtil.java:152)
at com.opensymphony.xwork2.config.providers.XmlConfigurationProvider.register(XmlConfigurationProvider.java:216)
... 25 more


2.2 根据官方struts 的jar包依赖来看


把xwork-core 包升级至2.3.34版本,然后启动项目

java.lang.NoSuchFieldError: VERSION_2_3_0 异常


2.3解决方案

	freemarker升级到 2.3.23.jar,最新版本


最后启动项目,完美解决
 

aimmon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
struts22.3.26升级2.3.34的文档
06-04
该文档是struts22.3.26升级2.3.34的方法,包括文档和相关的jar
struts2.3.4 所需要的jar包
shuiyuehaha的专栏
05-12 638
添加 struts2.3.4 所需要的lib文件,具体要用到的jar文件如下: asm-3.3.jar asm-commons-3.3.jar asm-tree-3.3.jar commons-fileupload-1.2.2.jar commons-io-2.0.1.jar commons-lang3-3.1.jar freemarker-2.3.19.jar javassist
struts-2.3.34struts-2.5.16引入jar以及配置web.xml和struts.xml
博客
05-13 2820
struts-2.3.341. 引入jarasm-3.3.jar asm-commons-3.3.jar asm-tree-3.3.jar commons-fileupload-1.3.1.jar commons-io-2.2.jar commons-lang3-3.1.jar commons-logging-1.1.3.jar freemarker-2.3.19.jar jarlist.txt ...
Struts2版本2.3.34升级2.5.16 出现问题总结
博客
05-13 5541
需要移除的jar包有struts2-json-plugin-2.3.24struts2-core-2.3.24ognl-3.0.6log4j-1.2.15xwork-core-2.3.24新添加的jar包如下 struts2-json-plugin-2.5.10.1struts2-core-2.5.10.1ognl-3.1.12log4j-api-2.7log4j-core-2.7log4j-1....
Struts2版本升级2.3.34
smiling
07-19 2216
    Struts2现在的最新版本是2.5.16.最近要上线一个项目,经过Acunetix安全扫描,struts2存在安全漏洞,需要对struts2进行升级。查看项目,项目本身使用的struts版本是2.2.     现在的struts2版本,相对安全的是2.3.34和最新版2.5.16.     从2.2版本到2.5.16,可以通过查看他们的包,可以发现需要替换的包结构很多,而且我原本也是...
Struts2 2.3.32升级2.3.34
liman的博客
09-19 1660
近期Struts官方不断发布漏洞,因为工作的原因,我这里的项目也必须升级2.3.34,我这里是从2.3.32开始升级(话说几天前我才从2.3.30升上去。。)。而且不能升级到2.5.13的大版本,改动比较麻烦。然后我在网络上找相关的升级方案,可惜漏洞发布没多久,还没有相关的详细解决方案。于是结合一些前辈的资料摸索出了一套方案。下面给出我收集来的jar包的下载地址: 稍后给出。。
struts2.3.34依赖jar包
10-29
这是struts2.3.34的依赖jar包,直接导入到项目中,即可添加struts2.3.34的支持
struts2.2.3升级struts2.3.34.rar
12-20
针对Struts2.2.3升级Struts2.3.34版本,修复漏洞所必须要的jar包。里面的jar包最好是全部替换,程序上不需要修改代码,只需替换所对应的jar即可。
Struts2.3.34升级jar包
06-23
Struts2 2.3.32升级2.3.34所需要的jar包,自己整理的,方便用户下载。
xwork-core-2.3.34.jar
01-03
struts2 工具类 xwork-core-2.3.34.jar
struts2-core-2.3.32和xwork-core-2.3.32
03-09
struts2漏洞版本,struts2-core-2.3.32和xwork-core-2.3.32
xwork-core-2.3.34.jar(内含StringUtils.class)
09-03
xwork-core-2.1.6.jar这个版本才内含StringUtils.class这个工具类,我已经将这个类添加到xwork-core-2.3.34.jar内了。
struts2.3.32版本升级升级步骤
04-13
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
struts22.3.15.1升级2.3.35
10-11
struts22.3.15.1升级2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包,以及升级过程中值得注意的事项
Struts2.3.34
09-19
Struts2.3.32升级2.3.34所需要的jar合集,方便网友更新,不用一个个去搜索下载。
struts2.3.23升级struts2.3.32
weixin_30314631的博客
03-10 168
新的漏洞 3月8号去审计厅培训系统的使用,那边计算机中心的负责人递过来一张如下图所示的文档,意思是发现了struts2漏洞,需要进行修复。 在培训前,我登录到服务器中,看到了项目中,所有的服务器中应用的都是struts2.3.20版本,于是默默地答应进行升级,在我心里,struts2出现漏洞是很正常的事情。。 升级准备 升级前,系统项目各个jar包的版本如下: ...
Struts-2.3.34.zip
05-22
Struts2.3.34 zip
struts 2.3.16 需要的jar包
01-07
struts 2.3.16 需要的jar包 struts2-core-2.3.16.jar xwork-core-2.3.16.jar commons-logging-1.1.3.jar ognl-3.0.6.jar commons-fileupload-1.3.jar freemarker-2.3.19.jar commons-io-2.2.jar javassist-3.11.0.GA.jar commons-lang-2.4.jar commons-lang3-3.1.jar
struts2升级2.5.30
最新发布
10-28
升级struts2到2.5.30版本,主要有以下几个方面的改进和优化。 1. Bug修复:新版本修复了之前版本中的一些已知问题和漏洞,提高了系统的稳定性和安全性。用户升级后可以避免之前版本存在的一些潜在问题和风险。 2. 性能优化:新版本对struts2的性能进行了优化,提升了系统的响应速度和并发处理能力。升级后,系统可以更高效地处理大量请求和并发访问,提供更好的用户体验。 3. 功能增强:新版本增加了一些新功能和特性,拓展了struts2的应用场景和功能范围。用户可以根据自身需求,更灵活地使用struts2框架,实现更多样化的功能。 4. 安全增强:升级到2.5.30版本可以提升系统的安全性,减少潜在的安全风险。新版本对一些已知的安全漏洞进行了修复,并加强了对用户输入的验证和过滤,防止常见的安全攻击。 5. 兼容性:为了保证升级的平滑进行,新版本会保持与之前版本的兼容性,尽量减少对已有功能和代码的影响。用户可以相对轻松地进行升级,降低了系统迁移的风险和成本。 总之,升级struts2的2.5.30版本,可以获得更好的性能、功能和安全性。此外,新版本的兼容性较好,升级过程也相对较简单,建议用户尽早进行升级,以便享受更好的使用体验和更安全可靠的系统运行环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

aimmon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值