struts s2-045漏洞修复

最新推荐文章于 2023-11-05 13:45:21 发布
最新推荐文章于 2023-11-05 13:45:21 发布
阅读量1.2k 收藏 1
点赞数
文章标签: apache struts 漏洞 struts2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengchunfu/article/details/64126563
版权

2017年3月初,apache曝出Struts2新的漏洞,利用该漏洞可直接获取应用系统所在服务器的控制权限。

修复该漏洞需要将Struts版本升级到2.3.32. 具体需要替换的jar包如下:

struts2-core-2.3.32.jar;

xwork-core-2.3.32.jar;

struts2-spring-plugin-2.3.32.jar;

struts2-json-plugin-2.3.32.jar;

ognl-3.0.19.jar;

javassist-3.11.0.GA.jar;

freemarker-2.3.22.jar;

commons-fileupload-1.3.2.jar;

commons-lang3-3.2.jar;

以上是网络上不少方案中涉及的jar包,经过测试后,启动项目时报错,报错信息:

严重: Exception starting filter struts2
java.lang.NoSuchMethodError: com.opensymphony.xwork2.util.finder.ClassFinder

报错信息提示的对应的类所在jar包,可能有jar包兼容问题,于是更新以下jar包:

struts2-convention-plugin-2.3.32.jar

更新后,重新编译,可正常启动。





飞鸟鱼
关注
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
struts S2-045漏洞修复过程
chensai3825的博客
03-08 350
由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。在得知Struts2 官方已经确认漏洞漏洞编号S2-045,CVE编号:cve...
记录一次Struts s2-045重大安全漏洞修复过程
weixin_30730151的博客
03-01 253
【升级修复】 受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。 官方公告:https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0 【临时处理方法】方式1:修改struts2组件中的d...
s2-045 java_Struts2远程代码执行漏洞S2-045利用及修复
weixin_27051161的博客
02-22 525
#! /usr/bin/env python# encoding:utf-8import urllib2import sysfrom poster.encode import multipart_encodefrom poster.streaminghttp import register_openersdef poc():register_openers()datagen, header = m...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
今天,我们将讨论如何修复 Struts2 漏洞 S2-045 而不升级 jar 版本。 漏洞概述 S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 ...
struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)
03-09
综上所述,Struts2.3.32是一个关键的版本,它不仅包含了对S2-045漏洞修复,还更新了核心组件和相关依赖,提升了整个框架的安全性。在升级到这个版本后,开发人员应确保所有相关插件和依赖也都更新到相应的安全版本...
Struts S2-045 漏洞调试及分析1
08-03
了解这些关键点,我们可以理解Struts S2-045漏洞的工作原理,以及如何通过调试和分析来检测和修复此类漏洞。对于软件开发者来说,确保及时更新Struts2框架到最新版本,避免使用已知漏洞的解析器,并对用户输入进行...
修复Struts2 045漏洞(s2-045)
长心子的博客
05-09 1643
升级Struts2 2.3.28.1 到struts2-core-2.3.28.1 替换jar: freemarker-2.3.22.jar ognl-3.0.21.jar struts2-core-2.3.34.jar xwork-core-2.3.34.jar struts2-json-plugin-2.3.34...
s2-045漏洞补丁struts-2.3.32最新免费版
07-29
近日安全研究院WEBIN实验室高级安全研究员发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 这里提供了s2-045漏洞补丁 struts-2.3.32,大家可以试试! 该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:
s2-045漏洞补丁,struts-2.3.32
03-09
s2-045漏洞补丁,struts-2.3.32
struts2045修复建议及补丁
01-29
- 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-convention-plugin-2.3.32.jar - struts2-core-2.3.32.jar - struts2-spring-plugin-2.3.32.jar - xwork-core-2.3.32.jar
漏洞复现】S2-045 Remote Code Execution(CVE-2017-5638)
最新发布
过期的秋刀鱼
11-05 1418
Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。造成机密数据泄露,重要信息遭到篡改等重大危害。如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切 换到不同的实现文件上传Multipart解析器。,可以看到上传页面的示例。
struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 除了升级外还是有修复方案的
hanxin的专栏
03-23 907
[b]【IT168 评论】关注网络安全的朋友们,想必最近两天已经被一个高危漏洞刷屏,其来势汹汹让不少网络安全圈内人士咋舌。近日,多家网络安全公司发现并曝光了全球最为流行的Java Web服务器框架之一的Apache Struts2存在漏洞。而这一漏洞最终也被Struts2官方确认,其漏洞编号为S2-045,CVE编号:cve-2017-5638,并将其定级为高危漏洞。[/b] Apache ...
关于S2-045漏洞struts版本升级注意事项
qq_34715692的博客
03-14 1044
更新步骤: 1.替换包:将原jar包里的包与 struts-2.5.10-1 对照(原有的低版本换成高版本) jar包可以去官网下载,下载方法百度经验里有 2.添加包:log4j-api-2.7.jar 3.删除包:xwork-core-2.3.15.1.jar(此包已集成到了struts2-core-2.5.10.1里面了) 4.修改web.xml文件:--不改启动报错,找不到
java Struts 2 远程代码执行漏洞(s2-045\s2-046)修复
u013208054的博客
05-19 735
升级以下相关包到2.3.32版本: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar
st2045 漏洞反弹root shell
weixin_34007291的博客
10-26 292
2019独角兽企业重金招聘Python工程师标准>>> ...
struts2S2-045S2-046漏洞解决办法
蓝关故人
03-01 1283
漏洞介绍 Struts影响版本:Struts2 2.3.5-2.3.31 Struts 2.5-2.5.10漏洞原因:基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附...
Struts2 S2-045漏洞分析:远程代码执行与Jakarta Multipart解析
总结来说,Struts S2-045漏洞是一个严重的安全问题,要求开发者和系统管理员及时更新到修复漏洞的最新Struts版本,同时需要关注框架中所有涉及用户输入和OGNL表达式的地方,确保输入数据经过适当的验证和过滤。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值