struts S2-045漏洞修复过程

最新推荐文章于 2023-11-05 13:45:21 发布
最新推荐文章于 2023-11-05 13:45:21 发布
阅读量370 收藏 1
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/2947038/blog/854182
版权

     由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。在得知 Struts2 官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险后,对负责的相关服务做了相关的升级。


本人负责的服务恰好采用了struts2框架,使用了Struts 2.3.15。按官方的指示,直接升级了struts版本,将原来的struts 2.3.15升级到了2.3.32版本。

1. 官方下载struts2 2.3.32相关jar包
 141918_IqiR_2947038.png

2. 本地修改工程pom依赖,(当时还没有2.3.32的相关的maven依赖,所以暂时拿了jar包部署自己的私服上了)

    本地更新jar包依赖之后发现, struts 2.3.32并没有依赖commons-lang3.jar,所以导致工程很多地方报错,所以再次修改pom引入commons-lang3.jar。

3. 替换灰度环境或者测试环境服务lib中相关的struts jar包,记得备份。

4. 启动,测试

5. 灰度或者测试环境测试没有问题后,现网施工,替换struts 相关jar包。如果现网机器较多的话,最好找一台机器先施工观测下,再全面施工。

在升级struts的过程中,也遇到些问题,比如缺少commons-lang3.jar包,部署成功之后,服务无响应缺少ognl及freemaker包。所以一定要在灰度或者测试环境下验证无误后方可现网施工

 

 

转载于:https://my.oschina.net/u/2947038/blog/854182

chensai3825
关注
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
记录一次Struts s2-045重大安全漏洞修复过程
weixin_30730151的博客
03-01 266
【升级修复】 受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。 官方公告:https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0 【临时处理方法】方式1:修改struts2组件中的d...
struts s2-045漏洞修复
03-20 1278
2017年3月初,apache曝出Struts2新的漏洞,利用该漏洞可直接获取应用系统所在服务器的控制权限。 修复该漏洞需要将Struts版本升级到2.3.32. 具体需要替换的jar包如下: struts2-core-2.3.32.jar; xwork-core-2.3.32.jar; struts2-spring-plugin-2.3.32.jar; struts2-json
s2-045 java_Struts2远程代码执行漏洞S2-045利用及修复
weixin_27051161的博客
02-22 535
#! /usr/bin/env python# encoding:utf-8import urllib2import sysfrom poster.encode import multipart_encodefrom poster.streaminghttp import register_openersdef poc():register_openers()datagen, header = m...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
今天,我们将讨论如何修复 Struts2 漏洞 S2-045 而不升级 jar 版本。 漏洞概述 S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 ...
Struts S2-045 漏洞调试及分析1
08-03
了解这些关键点,我们可以理解Struts S2-045漏洞的工作原理,以及如何通过调试和分析来检测和修复此类漏洞。对于软件开发者来说,确保及时更新Struts2框架到最新版本,避免使用已知漏洞的解析器,并对用户输入进行...
struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)
03-09
综上所述,Struts2.3.32是一个关键的版本,它不仅包含了对S2-045漏洞的修复,还更新了核心组件和相关依赖,提升了整个框架的安全性。在升级到这个版本后,开发人员应确保所有相关插件和依赖也都更新到相应的安全版本...
s2-045漏洞补丁struts-2.3.32最新免费版
07-29
近日安全研究院WEBIN实验室高级安全研究员发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 这里提供了s2-045漏洞补丁 struts-2.3.32,大家可以试试! 该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:
struts2045修复建议及补丁
01-29
- 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-convention-plugin-2.3.32.jar - struts2-core-2.3.32.jar - struts2-spring-plugin-2.3.32.jar - xwork-core-2.3.32.jar
strust2-045复现
m0_56243627的博客
09-15 984
小白strust2-045 复现
漏洞复现】S2-045 Remote Code Execution(CVE-2017-5638)
最新发布
过期的秋刀鱼
11-05 1582
Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。造成机密数据泄露,重要信息遭到篡改等重大危害。如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切 换到不同的实现文件上传Multipart解析器。,可以看到上传页面的示例。
Struts2 高危漏洞修复方案 (S2-016/S2-017)
kutekute的专栏
08-27 1610
建忠 闫. 于 星期四, 08/08/2013 - 08:09 提交 近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/
复现S2-045远程代码执行漏洞
weixin_67813445的博客
03-28 232
Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。
Apache Struts2 远程代码执行漏洞S2-045)技术分析与防护方案
热门推荐
xiao190128的专栏
03-10 1万+
Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞漏洞编号为CNNVD-201703-152。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。 相关链接如下: https://cwiki.apache.org/confluence/display/WW/S2-045?
Apache Struts2 S2-045远程命令执行漏洞(CVE-2017-5638)复现
qq_40640917的博客
02-23 2425
Apache Struts2是Apache项目下的一个web 框架,帮助Java开发者利用J2EE来开发Web相关应用。Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
关于S2-045漏洞struts版本升级注意事项
qq_34715692的博客
03-14 1061
更新步骤: 1.替换包:将原jar包里的包与 struts-2.5.10-1 对照(原有的低版本换成高版本) jar包可以去官网下载,下载方法百度经验里有 2.添加包:log4j-api-2.7.jar 3.删除包:xwork-core-2.3.15.1.jar(此包已集成到了struts2-core-2.5.10.1里面了) 4.修改web.xml文件:--不改启动报错,找不到
struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 除了升级外还是有修复方案的
hanxin的专栏
03-23 918
[b]【IT168 评论】关注网络安全的朋友们,想必最近两天已经被一个高危漏洞刷屏,其来势汹汹让不少网络安全圈内人士咋舌。近日,多家网络安全公司发现并曝光了全球最为流行的Java Web服务器框架之一的Apache Struts2存在漏洞。而这一漏洞最终也被Struts2官方确认,其漏洞编号为S2-045,CVE编号:cve-2017-5638,并将其定级为高危漏洞。[/b] Apache ...
Struts2 S2-045漏洞分析:远程代码执行与Jakarta Multipart解析
总结来说,Struts S2-045漏洞是一个严重的安全问题,要求开发者和系统管理员及时更新到修复此漏洞的最新Struts版本,同时需要关注框架中所有涉及用户输入和OGNL表达式的地方,确保输入数据经过适当的验证和过滤。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值