struts2 S2-045问题,升级struts版本的解决方案

最新推荐文章于 2024-07-26 14:00:57 发布
最新推荐文章于 2024-07-26 14:00:57 发布
阅读量1.4k 收藏 1
点赞数
文章标签: S2-045 struts2 2.3.32 struts2 版本升级
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29961189/article/details/60956457
版权
本文介绍了Struts2的S2-045高危漏洞及其影响,包括受影响的版本范围。作者提供了详细的解决方案,即升级Struts2框架至2.3.32版本,替换相关核心包,并调整配置文件设置。此外,还提到了升级所需依赖包的版本要求。
摘要由CSDN通过智能技术生成

这两天网上爆出struts2  S2-045问题,因为我负责的项目中也用到了,所以我对自己解决方案进行总结。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。

根据CNVD技术组成员单位——杭州安恒信息技术有限公司提供的分析情况,基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。

CNVD对漏洞的综合评级均为“高危”。由于struts 2.3.5之前的版本存在S2-016漏洞,因此有较多升级后的Apache struts2的版本为2.3.5及以上版本,极有可能受到漏洞的影响。

二、漏洞影响范围

受漏洞影响的版本为:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至7日13时,互联网上已经公开了漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站、补天平台提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据CNVD秘书处抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集&g

最低0.47元/天 解锁文章
qq_29961189
关注
传统框架strutsS2-045漏洞如何彻底解决(struts2.3.15升级2.3.32
follow大师兄的博客
06-25 1187
S2-045Struts 2远程执行代码漏洞 漏洞描述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10漏洞影响:基于Jakarta Multipart解析器执行文件上传时可能的RCE影响版本Struts 2.3.5 - Struts 2.3.31Struts
修复struts2的 s-45 s-46漏洞
06-01
struts2 又爆出漏洞了,这里给出修复struts2的 s-45 s-46漏洞所需jar,希望各位成功修复漏洞
简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法)
chengyueshi2102的博客
03-08 571
简单说一下Struts2基于“commons-fileupload”组件实现文件上传的漏洞,漏洞编号CVE-2017-5638,S02-45. 1. 漏洞重现: 通过发包模拟器或其它你能修改请求头Content-Type字段的客户端,可以把Content-Type 修改成诸如h...
Struts2 S2-045远程执行代码漏东
最新发布
cnzzs的博客
07-26 285
Struts2 S2-045远程执行代码漏懂允许公鸡者通过创建恶意的HTTP请求来远程执行系统命令。具体来说,S2-045漏懂是因为在使用基于Jakarta插件的文件上传功能时,Struts2框架未能正确处理用户输入的错误信息。当进行文件上传时,如果恶意用户修改了HTTP请求头中的Content-Type值,这可能会触发异...
Struts2 版本不一致导致的问题
u012235651的专栏
02-10 377
Struts2版本不一致,2.3.31和2.5.10入手一个简单案例会出现一些问题
struts2 s2-045初探
公众号shadow sock7
06-19 1450
https://github.com/Medicean/VulApps 使用它的docker镜像 用这个poc https://github.com/Medicean/VulApps/blob/master/s/struts2/s2-045/poc.py➜ VulApps/s/struts2/s2-045 master ✓ python poc.py http://127.0.0.1:808
S2-045漏洞利用工具&解决方案
angaoux03775的博客
03-07 202
简单的重复造一个轮子,漏洞危害蛮大的 影响版本Struts 2.3.5 - Struts 2.3.31,Struts 2.5 -Struts 2.5.10 仅供学习测试使用,严禁非法操作! 下载链接 修复建议: 1.很官方的解释 升级struts2版本 2.做过滤器 获取Content-Type的值,如果包含了某些特征进行过滤pass(治标不治本,有被绕过的可...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
今天,我们将讨论如何修复 Struts2 漏洞 S2-045 而不升级 jar 版本。 漏洞概述 S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 ...
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
K8_Struts2_EXP S2-045 20170310.rar
03-31
标题中的"K8_Struts2_EXP S2-045 20170310.rar"提到了一个特定的安全漏洞——S2-045,这是Struts2框架中的一个严重问题,影响了多个版本Struts2S2-045漏洞,全称为"Struts2 OGNL注入漏洞",源于Struts2框架...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
紧急预警!Struts2新漏洞S2-045来袭,多个版本受影响
weixin_34355881的博客
08-01 172
【51CTO.com原创稿件】近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 据悉,该漏洞影响范围极广,涉及Struts 2.3.5 - St...
struts2 s2-045漏洞检测 &临时解决方案
TUDP
03-08 7638
struts2 漏洞检测代码      (文件上传代码和 exce命令来均自网络 懒得自己写)      public static String upload(String url,String filePath){        String fdfsPath = "";        try {            DefaultHttpClient httpclient
struts2漏洞原理及解决办法
KEN的专栏
07-24 2006
漏洞由来已久,2012年9月13日发表的如下帖子 http://www.2cto.com/Article/201209/154990.html 1、原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数
struts2 漏洞编号S2-045 升级方案 更换jar包清单
小伙伴开发网 java android ios程序员技术交流
04-06 3008
S2-045
S2-045环境搭建简单记录
gibbs_的博客
05-05 774
S2-045漏洞版本的下载地址: http://archive.apache.org/dist/struts/2.3.24/ 安装jdk sudo apt-get install openjdk-8-jre 下载安装tomcat: https://tomcat.apache.org/download-70.cgi 解压 tar –xzvf apache-tomcat… cd后 在bin目录下直接运行./startup.sh (也可以放到别处在运行,运行时用户是谁,tomcat权限就是谁)
Apache Struts2S2-045)漏洞预警
热门推荐
煜铭2011
03-07 1万+
0x00 前言 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Contro
S2SH框架详解:Spring-Struts2-Hibernate集成项目开发
通过阅读这篇文档,开发人员能够系统地理解如何运用S2SH框架构建一个完整的Web应用,并且了解在项目实施过程中可能遇到的问题解决方案。这不仅有助于提高开发效率,还能保证代码的质量和项目的稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值