struts漏洞修补过程之S2-016

最新推荐文章于 2022-12-28 10:43:51 发布
最新推荐文章于 2022-12-28 10:43:51 发布
阅读量4.8k 收藏 2
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laoyiin/article/details/9448349
版权

Struts漏洞修补过程之S2-016。邪恶的Struts再次现身,这一次是远程执行漏洞。官方建议立即升级到2.3.15.1。真希望这是最后一次漏洞修补。下面是升级步骤。


1.升级到struts2.3.15.1,

需要导入的包

asm-3.3.jar
asm-commons-3.3.jar
asm-tree-3.3.jar
commons-fileupload-1.2.2.jar
commons-io-2.0.1.jar
commons-lang3-3.1.jar
freemarker-2.3.19.jar
javaassist-3.11.0.GA.jar
ognl-3.0.6.jar
struts2-core-2.3.15.1.jar
xwork-core-2.3.15.1.jar

可以从这里下载2.3.15.1的struts,这里


2.修改web.xml,解决启动后的报错问题,

为避免tomcat启动后,频繁提示“FilterDispatcher is now deprecated” 的错误信息,

需要修改web.xml文件。

去除对org.apache.struts2.dispatcher.FilterDispatcher的引用,改为下面的样子:

<filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>


3.自己建立xwork-2.0.dtd文件,解决运行时错误。

如果运行时,还发生如下错误的话,

	... 35 more
 Caused by: java.io.FileNotFoundException: http://www.opensymphony.com/xwork/xwork-2.0.dtd
 	at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1303)

就需要,建立自己的xwork-2.0.dtd文件。原因是 http://www.opensymphony.com/xwork 这个路径不存在了。

一个解决办法是,在服务器上配置一个HTTP服务器,例如IIS或者Apache,然后建立xwork目录和xwork-2.0.dtd文件,然后,修改本机的hosts文件,加入一条DNS记录,把www.opensymphony.com指向本机IP。


做完这几步,就OK了。可以试试服务是否能够正常运行了。


参考:

1.http://stackoverflow.com/questions/14278258/struts2-hello-world-jsp-example-error

2.http://got-code.blogspot.com/2011/06/javaiofilenotfoundexception.html

3.http://struts.apache.org/release/2.3.x/docs/s2-016.html






laoyiin
关注
专栏目录
给你汇报Struts2 S2-016漏洞修复的总结
HBohan的博客
06-27 1864
这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此漏洞影响struts2.0-struts2.3的所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大 漏洞修复总结有4种方式: 1、升级版本 这也是Apache官方给出的建议,把Struts2的版本升级到2.3.15以上的版本,这种方式只需要替换一些jar包,归纳如下: commons-lang3
Struts2高危漏洞修复方案(S2-016/S2-017)
先尝试后决策,天道酬勤
08-08 3477
近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016 S2-017:https://cwiki.apache.org/confl
struts2 最新漏洞 S2-016S2-017修补方案
a1314loveyou的专栏
07-18 1319
昨天struts2爆了一个好大的漏洞,用道哥的话来说就是:“今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,大家可以感受一下。” 看下乌云这两天的数据: 相关报道: 灾难日:中国互联网惨遭Struts2高危漏洞摧残 Struts2被曝重要漏洞,波及全系版本 官方描述: S2-016:https://cwiki.apache.org/confluence/display...
struts2 最新漏洞 S2-016S2-017修补方案 .docx
08-01
struts2 最新漏洞 S2-016S2-017修补方案 .docx
Struts漏洞修补过程S2-016
08-19 741
Struts漏洞修补过程S2-016。邪恶的Struts再次现身,这一次是远程执行漏洞。官方建议立即升级到2.3.15.1。真希望这是最后一次漏洞修补。下面是升级步骤。 1.升级到struts2.3.15.1, 需要导入的包 asm-3.3.jar asm-commons-3.3.jar asm-tree-3.3.jar commons-fileupload-1.2.2.
struts2反序列化漏洞,存在s2-005、s2-016s2-016_3、s2-017
08-28
然而,这个框架的历史上存在一系列的安全漏洞,其中特别值得关注的是与反序列化相关的漏洞,如s2-005、s2-016s2-016_3和s2-017。这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而...
Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁
07-25
-- 为修复struts2 s2-016s2-017漏洞,重写DefaultActionMapper --> <bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...
S2-016漏洞利用工具
05-03
S2-016的检测和利用
Struts2 S2-016,S2-017远程代码执行漏洞解决,修复
热门推荐
yx9o
03-26 1万+
Struts2 S2-016,S2-017远程代码执行漏洞解决,修复 官网描述如下: http://struts.apache.org/release/2.3.x/docs/s2-016.html 怎么解决呢?
Struts2 高危漏洞修复方案 (S2-016/S2-017)
weixin_34226182的博客
01-15 226
近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多.   引发的威胁: 取得网站服务器主机管理权限。 CVSS:(AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:N)score:10.00(最高10分,高危) 即:远程攻击、攻击难度低、不需要用户...
Struts2 S2-016复现
ZJT6666666的博客
12-28 504
Struts2 S2-016复现
Struts2-016命令执行漏洞
MX的博客
05-05 7603
Struts2-016命令执行漏洞 一:前言 CVE-2013-2251 漏洞概述: Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,...
java struts2 漏洞_Struts2 s2-016漏洞的完整解决方案
weixin_36074841的博客
02-13 506
Struts2 s2-016漏洞这里不做过多描述,官方描述见下面网址:解决方案(以struts 2.1.8.1版本为例)1.下载struts 2.1.8.1 源码struts-2.1.8.1-src.zip下载完成后,记得进行MD5验证2.eclipse建立一个war项目3.将struts-2.1.8.1-src.zip内的源码拖到项目的src目录下4.找到对应struts-2.1.8.1的xwo...
Apache Struts2远程代码执行漏洞(S2-016
weixin_47493074的博客
09-24 984
Apache Struts2远程代码执行漏洞(S2-016
[旧文系列] Struts2历史高危漏洞系列-part4:S2-016/S2-032/S2-045
mole_exp的博客
01-18 1686
文章目录关于<旧文系列>前言S2-016漏洞复现与分析可回显PoC漏洞修复S2-032漏洞复现与分析可回显PoC漏洞修复S2-045漏洞复现与分析可回显PoC漏洞修复Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 htt
s2-016 struts2 修复
最新发布
10-15
s2-016是一个Struts2框架中的安全漏洞,修复此漏洞的方式是升级Struts2版本。 首先,我们需要确定当前使用的Struts2版本。通过查看项目依赖或者查看项目中的Struts2相关配置文件,可以得知当前使用的Struts2版本号。 接下来,我们需要查看Struts2的官方文档或者相关的安全公告,了解该版本是否受到s2-016漏洞的影响,以及是否有其他相关漏洞需要修复。 如果当前使用的Struts2版本受到s2-016漏洞的影响,那么我们需要升级到修复了该漏洞的版本。可以从Struts2官方网站或者相关的软件仓库下载最新的稳定版本,然后根据升级指南进行相应的升级操作。 在升级Struts2之前,我们应该先在测试环境中进行一些简单的测试,确保升级后的系统能够正常运行,并且之前的功能和逻辑没有受到影响。 值得注意的是,升级Struts2版本可能会引入其他的改变或者兼容性问题,因此我们需要仔细阅读相关的文档,并在升级前备份好项目和数据库,以防万一。 另外,除了升级Struts2版本之外,我们还应该保持项目的其他组件和库的更新。及时更新依赖的第三方库,修复其他潜在的漏洞,以提高整个系统的安全性。 总结起来,修复s2-016漏洞的方式是通过升级Struts2版本,升级前需要进行测试和备份,并保持项目的其他组件和库的更新。这样可以有效地提升系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值