struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】

于 2021-04-20 15:58:08 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jeffyu328/article/details/115907882
版权
本文介绍了从Struts2的2.3.15.1版本升级到2.5.26过程中的关键步骤和解决的漏洞问题,包括修改web.xml中的Struts2 filter配置,升级commons-lang3和ognl库,注释struts.xml的objectTypeDeterminer,以及解决freemarker报错问题。升级旨在修复S2-045和S2-061远程代码执行漏洞。
摘要由CSDN通过智能技术生成

一、背景

一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。

①被查到存在编号【Struts2  S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1】。

②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-2020-17530)】;受影响版本:【Struts 2.0.0 – Struts 2.5.25】;漏洞已Struts 2.5.26版本中修复。

只能升级到【Struts 2.5.26】,目前(2021年4月20日)的最新版   

下载地址:https://struts.apache.org/download.cgi

二、具体实施

由于种种原因,只能将部署Tomcat下webAPP中的程序进行升级。

经过多方的挣扎排除报错,现将改动的位置和替换的包列出以供相似问题的码农们参考。

最低0.47元/天 解锁文章
JEFFYU328
关注
专栏目录
struts2-core.jar
08-03
struts2-core-2.0.1.jar, struts2-core-2.0.11.1.jar, struts2-core-2.0.11.2.jar, struts2-core-2.0.11.jar, struts2-core-2.0.12.jar, struts2-core-2.0.14.jar, struts2-core-2.0.5.jar, struts2-core-2.0.6.jar, struts2-core-2.0.8.jar, struts2-core-2.0.9.jar, struts2-core-2.1.2.jar, struts2-core-2.1.6.jar, struts2-core-2.1.8.1-sources.jar, struts2-core-2.1.8.1.jar, struts2-core-2.1.8.jar, struts2-core-2.2.1.1.jar, struts2-core-2.2.1.jar, struts2-core-2.2.3.1.jar, struts2-core-2.2.3.jar, struts2-core-2.3.30.jar, struts2-core-2.5.2.jar
Struts2 漏洞集合
kali_Ma的博客
01-21 7568
Struts2 漏洞集合 总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署 S2-001 (CVE-2007-4556) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用
Struts2-核心组件3
面对现实,忠于梦想
08-22 958
 Result Types从action生成结果,并返回组用户不同的结果值,不都需要相同的类型.结果"success"可以渲染为一JSP页面,但结果"error"可能需要发送一个HTTP头返回给浏览器.结果的类型使用"type"属性在结果节点配置.与"name"属性相似,这个属性也有一个默认值-"dispatcher"-将渲染JSPs.大多数的时间,你将使用所提供的结果类型,但有时也可
struts2-core-2.3.15.3.jar
05-29
Apache Struts Copyright 2000-2011 The Apache Software Foundation This product includes software developed by The Apache Software Foundation (http://www.apache.org/). Dojo (http://dojotoolkit.org/). domTT (http://www.mojavelinux.com/projects/domtooltip/). The binary distributions includes the following third party software: ANTLR (http://www.antlr.org/). Classworlds (http://classworlds.codehaus.org/). EZMorph (http://ezmorph.sourceforge.net/) FreeMarker (http://freemarker.org/). JSON-lib (http://json-lib.sourceforge.net/). OGNL (http://www.opensymphony.com/ognl/). Plexus (http://plexus.codehaus.org/). SiteMesh (http://www.opensymphony.com/sitemesh/). XWork (http://www.opensymphony.com/xwork/). XPP3 (http://www.extreme.indiana.edu/xgws/xsoap/xpp/). XStream (http://xstream.codehaus.org/).
struts2-core-2.2.1 jar下载、源码下载 非常全面!!绝对可用!! 所需资源分最少。
10-27
struts2-core-2.2.1 jar下载、源码下载 非常全面!!绝对可用!! 里面包括struts2-core源码 API文档 基本配置,还有jar文件。非常全面,绝对可用!!!
struts2-core-2.3.15.1.jar
07-25
struts2-core-2.3.15.1.jar
Struts2.3.15.1版本升级2.3.32详细流程
12-13
例如,如果在项目根目录下的`struts-default.xml`文件与新版的`struts2-core-2.3.32.jar`中的同名文件有冲突,可以考虑删除根目录下的文件,并将必要的配置项合并到项目内部的`struts-default.xml`文件中。...
struts2-json-plugin-2.3.15.1.jar
08-13
struts2-core-2.xx 升级struts2-core-2.3.15.1.jar后 jsonplugin-0.32.jar需要升级struts2-core-2.3.15.1.jar,不然在使用ajax时候报错 java.lang.NullPointerException at org.apache.jsp.web.error_jsp._jsp...
struts-2.3.15.3所以jar包
07-06
在给定的“struts-2.3.15.3所有jar包”中,我们看到的是Struts 2框架的一个特定版本——2.3.15.3的依赖库集合。这个版本包含了执行Struts 2应用所需的所有核心组件和其他相关库。下面将详细介绍这些jar包以及它们在...
struts2-core-2.3.31.jar
10-09
  一、漏洞简介     Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品:Struts 1和Struts 2。     Apache Struts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-15 2,CVE-2017-5638)。该漏洞与Apache Struts2 (S2-045)远程代码执行漏洞原理基本相同,均是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。      二、漏洞危害     攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi,debug等功能)以及启用任何插件,因此漏洞危害较为严重。     三、修复措施     目前,Apache官方已针对该漏洞发布安全公告,并且漏洞利用代码已被公布在互联网上,请受影响用户及时检查是否受该漏洞影响。另外,已通过升级方式修复了Apache Struts2 (S2-045)远程代码执行漏洞的用户,不在该漏洞影响的范围内。     【自查方式】     用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。     【升级修复】     受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。     官方公告: https://cwiki.apache.org/confluence/display/WW/S2-046 https://cwiki.apache.org/confluence/display/WW/S2-046
struts2-core-2.5.16.jar
06-22
struts2-core-2.5.16.jar 已经通过自己调整过,现在完美兼容低版本struts2 jsp 标签库问题。解决struts2 升级struts2.5.16 不兼容低版本部分标签问题。比如:escape属性 id属性 等等
struts2-core
03-12
struts2struts2struts2struts2struts2struts2struts2
struts2-core-2.5.10.1
03-08
修复S2-045:Struts 2远程执行代码漏洞,时用到的jar,漏洞影响:基于Jakarta Multipart解析器执行文件上传时可能的RCE 影响版本:Struts 2.3.5 - Struts 2.3.31                     Struts 2.5 - Struts 2.5.10
struts-2.5.26-min-lib.zip
10-12
struts2所需jar包
struts2_core NOTE
计算机技术学习与应用
12-21 998
1.过去的开发模式是:一,创建表,二,创建实体类(pojo),三,建立DAO,四,JSP/Servlet,但是有了struts2框架后就使用MVC模式,model层包括entity实体bean,dao和service,view层只是简单地不含逻辑代码的jsp页面,controler层即控制层有actionservlet、action以及struts2的核心控制器filterdispatcher,控
struts2-core-2.0.6.jar
12-01
struts2-core-2.0.6.jar
struts2.3.32升级struts2.5.26
初级驾照的博客
12-09 9170
下载struts2.5.26jar包 官网下载 更新jar 新增或替换 commons-io-2.6.jar log4j-api-2.12.1.jar ognl-3.1.28.jar struts2-core-2.5.26.jar struts2-json-plugin-2.5.26.jar struts2-junit-plugin-2.5.26.jar struts2-spring-plugin-2.5.26.jar 删除 xwork-core-2.3.32.jar 修改web.xml <fil
struts2-core-2.3.20.jar
weixin_30819085的博客
08-06 267
核心配置位于该jar struts-default.xml struts-2.3.dtd 1 <?xml version="1.0" encoding="UTF-8" ?> 2 <!-- 3 /* 4 * $Id$ 5 * 6 * Licensed to the Apache Software Foundation (ASF) u...
Struts2 2.3.15.1 版本存在什么漏洞问题
最新发布
06-14
Struts2 2.3.15.1 版本存在一个严重的漏洞问题,即远程代码执行漏洞(Remote Code Execution,RCE)。攻击者可以通过构造恶意的请求,利用该漏洞执行任意的系统命令。该漏洞是由于Struts2框架的一个参数没有正确地...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值