关于S2-045漏洞struts版本升级注意事项

最新推荐文章于 2022-08-22 10:57:28 发布
最新推荐文章于 2022-08-22 10:57:28 发布
阅读量989 收藏
点赞数
文章标签: struts2-2.5.10.1升级 S2-045漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34715692/article/details/62040894
版权

我不怎么用struts的,弄了一天多时间,终于找到了解决办法,分享只是为了方便别人节约时间,底层套路我不了解,不喜勿喷。

另:此文是网上多处找到的资料做的总结

更新步骤:

1.替换包:将原jar包里的包与 struts-2.5.10-1 对照(原有的低版本换成高版本)

jar包可以去官网下载,下载方法百度经验里有

2.添加包:log4j-api-2.7.jar
3.删除包:xwork-core-2.3.15.1.jar(此包已集成到了struts2-core-2.5.10.1里面了)


4.修改web.xml文件:--不改启动报错,找不到类
filter-class中将
org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter
换成
       org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
(新版本的此类的路径不同了)


5.修改struts.xml:
5.1 将 --不改后果<package>中添加global-allowed-methods会报错
<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">
换成
<!DOCTYPE struts PUBLIC 
"-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd"> 


5.2 在<package>标签中添加
<global-allowed-methods>regex:.*</global-allowed-methods>
----不添加的话页面找不到action
注意:<package>标签里的内容必须按照以下顺序:
result-types?,
interceptors?,
default-interceptor-ref?,
default-action-ref?,
default-class-ref?,
global-results?,
global-exception-mappings?,
action*
global-allowed-methods放在global-exception-mappings前面,也有可能要放在global-results前面,因为我的没有这项目配置没做实验
6.struts.properties中添加:
struts.enable.DynamicMethodInvocation=true
struts.convention.action.mapallmatches=true
--这2个属性是升级后struts框架对页面提交的请求路径字符串进行分割,如不设置将会分割错误,导致找不到action
Eleven5566
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
Struts2版本2.5之后关于通配符找不到某些method的解决方法
ForYou999的博客
08-17 1569
struts22.5版本开始,为了提升安全性,默认开启了严格的方法调用。 在struts2-core-2.5.*.jar中我们可以找到配置文件struts-default.xml, 首先请看: 而我们在自己的struts.xml中创建的package都是继承自struts-default,既默认设置有 strict-method-invocation="true" 。那么它
Struts2.5版本以上的struts.xml和jar包配置
Kainx
07-19 2256
Struts2.5版本以上的struts.xml和jar包配置 。
java Struts 2 远程代码执行漏洞(s2-045\s2-046)修复
u013208054的博客
05-19 725
升级以下相关包到2.3.32版本: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar
关于Struts2 Global-allowed-methods 标签
Wei_543的博客
05-10 5374
使用 标签之后,系统就不会再到你具体的Action中去找相对应result了 因此你需要做的就是再设置一个 里面设置的就是你上面方法中会返回的一些result。你的方法返回的result都会来这里找
struts升级2.5.26遇到的各种bug及解决方案
热门推荐
Gzf的博客
01-08 1万+
一、背景 由于struts2自身的漏洞“【安全】关于Struts2 S2-061 远程代码执行漏洞(CVE-2020-17530)”,所以需要将struts2.3.35相关jar升级2.5.26版本。而项目本身用的是1.6或1.7的JDK,在更新过程中,遇到了许多的问题,所以将遇到的问题及解决方案总结,对JDK1.8的同学也会有帮助的。 二、2.5.26的jar包的内部代码改动 1、将xwork-core.jar整合进struts2-core-2.5.26.jar中 ...
Struts2 045漏洞S2-045漏洞利用工具python 视图版
03-07
Struts2 045漏洞S2-045漏洞利用工具python 视图版 执行python exp.py后 自动弹出对话框
修复struts2的安全漏洞(编号S2-045S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)
03-09
在本文中,我们将深入探讨标题和描述中提及的“struts2.3.32”版本,以及它如何修补了知名的S2-045安全漏洞,并介绍相关的核心组件和依赖项。 S2-045漏洞是一个严重的远程代码执行(RCE)漏洞,存在于Apache Struts...
s2-045漏洞补丁,struts-2.3.32
03-09
修复"S2-045"漏洞的方法主要是升级Struts 2框架到至少2.3.32版本。此版本包含了针对该漏洞的安全补丁,可以有效地防止恶意输入导致的远程代码执行。此外,除了更新框架,还需要检查应用程序的配置,确保所有用户输入...
Apache Struts2S2-045漏洞升级指南
03-07
Apache Struts2S2-045漏洞升级指南,用于指导Apache Struts2S2-045漏洞的本地升级工作
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
s2-045漏洞补丁struts-2.3.32最新免费版
07-29
近日安全研究院WEBIN实验室高级安全研究员发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 这里提供了s2-045漏洞补丁 struts-2.3.32,大家可以试试! 该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:
struts2上传必备jar包,避免出现struts2升级漏洞!自己吃亏后分享
10-20
这个bug是由Struts2上传文件后return SUCCESS后报的错误: java.lang.AbstractMethodError: be.telio.mediastore.ui.upload.GarryMultiPartRequest.cleanUp()V at org.apache.struts2.dispatcher.multipart.MultiPartRequestWrapper.cleanUp(MultiPartRequestWrapper.java:271) at org.apache.struts2.dispatcher.Dispatcher.cleanUpRequest(Dispatcher.java:837) at org.apache.struts2.dispatcher.ng.PrepareOperations.cleanupRequest(PrepareOperations.java:103) at org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:103) 可以完美解决此类struts2的出错问题!
Struts2漏洞2.0.xx或2.3.28.1升级Struts-2.5.12
zhoujans的专栏
08-17 3075
搞了好纠结,终于被我搞定了。 1、struts2.0.X升级struts-2.5.12则删除以下原先WEB-INF/lib中jar包: 路径:..\xxx\WEB-INF\lib,删除14个jar commons-fileupload-1.2.1.jar commons-io-1.4.jar commons-lang-2.3.jar commons-logging-1.0.4.j
记录一次Struts s2-045重大安全漏洞修复过程
weixin_30730151的博客
03-01 248
升级修复】 受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。 官方公告:https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0 【临时处理方法】方式1:修改struts2组件中的d...
S2-045漏洞复现
不曾扬帆,何以至远方
07-14 1835
S2-045(CVE-2017-5638)漏洞复现
漏洞复现 - - -Struts2(s2-045)远程命令执行漏洞
weixin_67503304的博客
08-22 7311
从源码的角度分析Struts2(s2-045)远程命令执行漏洞,利用java详细讲解造成漏洞的原因,包含了Structs2高危漏洞exp的扫描利用工具
apache struts2框架命令执行漏洞(s2-045s2-046)
最新发布
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045s2-046漏洞s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的HTTP请求发送恶意代码,导致服务器执行该恶意代码,从而获取系统权限。 而s2-046漏洞则是由于Struts2框架中对传入参数的处理不当,攻击者可以通过构造特定的HTTP请求,触发服务器执行恶意代码。 这两个漏洞都存在严重的安全风险,可能导致服务器受到攻击,甚至导致系统被入侵。为了防范这些漏洞,用户应该及时更新Struts2框架的最新版本,开发人员也需要对传入的参数进行严格的验证和过滤,避免恶意代码的执行。此外,安全团队也应该定期对服务器进行安全漏洞扫描和修复,以确保系统的安全性。 总之,对于Apache Struts2框架的命令执行漏洞,我们需要重视并采取有效的措施来防范和修复,以确保系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值