安全漏洞修复-Common FileUpload-CVE-2016-100031

最新推荐文章于 2024-06-08 07:30:31 发布
最新推荐文章于 2024-06-08 07:30:31 发布
阅读量4.8k 收藏 2
点赞数
分类专栏: java 文章标签: 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llCnll/article/details/124100192
版权

一. 漏洞描述

近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Struts 2.3.x默认使用1.3.2旧版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。

受影响版本:
Apache Struts <= 2.3.36
Apache Common FileUpload < 1.3.3

二. 修复方式

Common FileUpload 升级至 1.3.3 (对应的 common-io 为2.2版本)

Struts2 升级至 2.5.26 (安全漏洞修复-Structs2-S2-061)

三. 修复过程

依赖项: https://commons.apache.org/proper/commons-fileupload/dependencies.html
变更声明: https://dist.apache.org/repos/dist/release/commons/fileupload/RELEASE-NOTES.txt
发行历史: https://commons.apache.org/proper/commons-fileupload/changes-report.html

目前项目是 1.3.1 需升级到 1.3.3
从版本 1.3.0、1.3.1 或 1.3.2 迁移到 1.3.3 不需要更改客户端代码

直升替换版本即可.(由于 Apache Struts <= 2.3.36 会有 strcuts 漏洞, 因此需注意)

四. 相关文档:

Apache Struts2 Commons FileUpload远程代码执行漏洞(CVE-2016-100031) 安全预警
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析

llCnll
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Commons FileUpload1.21和1.3版本 升级Commons FileUpload1.5升级说明中“ simple yet flexible means ” 是哪种方法
JEFFYU328的专栏
03-09 2801
Commons FileUpload1.21和1.3到Commons FileUpload1.5 如何升级、问题在哪请大佬教一下,不甚感激!
Apache Commons FileUpload & Apache Tomcat拒绝服务漏洞解决方案
bocco的博客
02-23 1584
近日,安全狗应急响应中心关注到Apache官方发布安全公告,披露在Apache Commons FileUpload1.5版本中存在一处拒绝服务漏洞CVE-2023-24998)。Commons FileUpload是Apache组织提供的免费的上传组件。由于Apache Commons FileUpload对请求部分要处理的数量未做限制,导致攻击者可以利用此漏洞恶意上传或一系列上传触发拒绝服务。
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
qq_53058639的博客
06-08 1393
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。在账号密码的输入框中测试是否存在漏洞
maven的使用
L2111533547的博客
08-21 574
接上篇安装完之后的使用。
apache commons fileupload 项目摘要(2016-07-01更新)
Jog熊吉的博客
07-14 561
项目摘要 项目信息 标题 内容 名称 Apache Commons FileUpload 描述 Apache Commons FileUpload组件提供了在servlet以及web应用程序中对简单且可扩展的多文件上传功能的支持。 主页 http://commons.apache.or
日常常见应用组件升级记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-18 1729
因近期安全扫描,发现java后端应用涉及多个引用组件版本过低,涉及潜在漏洞利用风险,特记录相关处理升级处理过程,以备后续确认;
CVE-2016-1000031 Apache Commons FileUpload 反序列化漏洞深入分析
热门推荐
沧海一粟
02-20 1万+
反序列化漏洞最近一直不得安宁,先有Apache Commons Collections通过反序列化实现远程代码执行,再有Spring RMI 反序列化漏洞,最新又有了common upload file的反序列化漏洞CVE-2016-1000031(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031) 漏洞原因 先来看
apache commons fileupload 安全漏洞2016-07-01更新)
Jog熊吉的博客
07-22 5557
Apache Commons FileUpload安全漏洞 该页面列出所有Apache Commons FileUpload发行版中修复安全漏洞。每个安全漏斗都由开发团队给予安全影响等级——请注意该等级可能给予系统而变化。我们还列出Commons FileUpload版本已知漏洞的影响,以及各版本未证实漏洞会附带问号进行罗列。 请注意该页面未提供二进制文件补丁。如果你需要实施源码补丁,
jenkins修复最新Apache Struts远程代码执行漏洞(CVE-2016-1000031)
汇渊科技
07-18 4031
修复问题描述 阿里云上的安全监测提示: 近日,Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-1000031漏洞的安全公告,其中披露一个Commons FileUpload库的历史高危漏洞CVE-2016-1000031,而2.3.x系列版本的Apache Struts2仍在使用低版本Commons FileUpload库,该库作为Struts...
apache commons fileupload 变更记录(2016-07-01更新)
Jog熊吉的博客
07-11 1386
发行记录 发行历史 版本 日期 描述 1.4 待定 待定 1.3.2 2016-05-26 对1.3.1的bug修复。 1.3.2 2014-02-07 这是一个安全可维护的发行版,它包括一个重要的安全修复。与1.3.1项目没有其他区别。
开发工具 commons-fileupload-1.3.2
05-31
开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2开发工具 commons-fileupload-1.3.2...
commons-fileupload-1.4-bin.zip
02-25
标题中的"commons-fileupload-1.4-bin.zip"表明这是一个包含Apache Commons FileUpload 1.4版本的二进制文件包,而描述中的"fileupload-1.4"进一步确认了这个版本号。 Apache Commons FileUpload的主要功能在于解析...
commons-fileupload.jar
08-28
用于简化文件上传的第三方jar包
commons-fileupload-1.3.3&commons-fileupload-1.3.3架包和代码.rar
08-04
标题中的"commons-fileupload-1.3.3&commons-fileupload-1.3.3架包和代码.rar"提到了Apache Commons FileUpload的1.3.3版本的库及其源码。Apache Commons FileUpload是一个Java库,专门用于处理HTTP协议中的多部分...
commons-fileupload-1.3.3-bin
07-11
在压缩包中,除了`commons-fileupload-1.3.3-bin`外,还包含了一个`commons-io-2.6-bin.zip`。Apache Commons IO是另一个实用库,提供了一系列与I/O相关的工具类,包括文件操作、流处理、读写字符和字节等。在处理...
pi_heif-0.17.0-cp39-cp39-manylinux_2_31_armv7l.whl
最新发布
07-27
pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。pip install 直接安装,无需再下载,直接用。
ubuntu20.04-ssh9.8p1-ssl3.0.14-focal-deb-amd64升级加固脚本.zip
07-27
若有新版本请查看文章最后附件地址:https://blog.csdn.net/liuxin638507/article/details/132450367 特点: 1、同时升级openssh与openssl,采用deb包形式,一键快速升级版本,无需每台单独再次进行编译, 2、隐藏openssh-版本号(openssh9.8p1及之后隐藏版本号还未找到方法) 3、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_ssl_ssh_ubuntu.sh 进行安装 注意,升级安装后,确保sshd服务正常,请新开终端进行验证测试 验证 openssl版本: openssl version OpenSSL 3.0.14 4 Jun 2024 (Library: OpenSSL 3.0.14 4 Jun 2024) openssh版本: ssh -V OpenSSH_9.8p1, OpenSSL 3.0.14 4 Jun 2024
avif-0.5.0-cp36-cp36m-manylinux1_i686.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
Common-fileupload上传图片到数据库
04-04
以下是一种常用的方法,使用Commons FileUpload库将图片上传到数据库: 1. 在HTML表单中添加文件上传字段。 ```html <form action="upload.jsp" method="post" enctype="multipart/form-data"> <input type="file" name="file" /> <input type="submit" value="Upload" /> </form> ``` 2. 在服务器端,使用Commons FileUpload库解析上传文件。 ```java // 创建一个文件上传处理器 ServletFileUpload upload = new ServletFileUpload(); // 解析上传请求 FileItemIterator iter = upload.getItemIterator(request); while (iter.hasNext()) { FileItemStream item = iter.next(); // 如果当前项是文件字段,则保存文件到数据库 if (!item.isFormField()) { InputStream stream = item.openStream(); // 将流保存到数据库 // ... } } ``` 3. 将输入流保存到数据库中。 ```java // 假设“conn”是一个打开的数据库连接 PreparedStatement stmt = conn.prepareStatement("INSERT INTO images (filename, content) VALUES (?, ?)"); stmt.setString(1, item.getName()); stmt.setBinaryStream(2, stream, stream.available()); stmt.executeUpdate(); ``` 注意:这只是一个简单的示例,未考虑文件大小、文件类型、文件名重复等问题。需要根据实际情况进行修改和完善。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值