struts2 升级至2.3.32

最新推荐文章于 2022-09-20 15:45:53 发布
最新推荐文章于 2022-09-20 15:45:53 发布
阅读量448 收藏
点赞数
分类专栏: struts2 文章标签: struts2
原文链接:https://blog.csdn.net/u013253478/article/details/61198543
版权

背景: struts2近日被曝存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞 (漏洞编号 S2-045,CVE编号: cve-2017-5638),并定级为高危。 由于该漏洞影响范围极广(Struts2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10), 漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。

如果你当前的项目使用了 Struts2.3.5至 Struts 2.3.31版本或者 Struts 2.5至Struts 2.5.10版本 必须替换的jar包:

xwork-core-2.3.32.jar
struts2-json-plugin-2.3.32.jar
struts2-core-2.3.32.jar 可能需要替换或增加的jar包:
struts2-spring-plugin-2.3.32.jar
ognl-3.0.19.jar
javassist-3.11.0.GA.jar
freemarker-2.3.22.jar
可能需要增加的文件

struts-tags.tld (如果页面中有使用到struts标签的话,需要放置在WEB-INF文件夹下)

似一筷扣肉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2.3.32版本升级升级步骤
04-13
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入...
Struts2最新漏洞升级2.3.32版本
03-22
struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下struts.xml 文件,...
升级Struts2.3.32
huan1213858的博客
09-13 327
struts
struts2 升级2.3.32时访问页面报错 File "/struts-tags" not found
a0544024083的博客
11-09 1786
Apache struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: struts 1和struts 2。 Apachestruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638...
struts2.3.32升级后出现的错误
huan1213858的博客
09-20 227
struts
Struts2-2.3.32 升级
lasting_5的博客
08-14 1148
        最近有个项目做等保测评,发现存在S2-045漏洞,需要替换struts2jar,因为我们项目比较老,所以选择用2.3.32版本。         在替换过程中,一开始也是各种找jar包,然后替换,然后测试,折腾了好久。一会儿启动的时候报找不到类、一会启动正常,访问action的时候返回找不到服务器。关于action访问不了的,大家可以试试在struts.xml中加入:<...
strut升级2.3.32
多啦A梦借了皮卡丘的十万伏特
05-03 407
1.升级所需要的jar包,请将原来的旧包删除 asm-3.3、asm-commons-3.3、commons-lang3-3.2 (以上jar包,不一定,是这个版本,我升级的时候,里面没有上面三个jar包出现报错,) freemarker-2.3.22  ognl-3.0.19  struts2-core-2.3.32  struts2-jasperreports-plugin-2.
struts2.3.15升级2.3.32 遇到的问题
xxoo
06-25 1942
升级也是被逼的,谁让你有漏洞呢开始替换jar:  下载地址 :https://archive.apache.org/dist/struts/2.3.32/大功告成,使用感叹号访问的,记住开启动态方法配置 <!-- 开启动态方法调用支持 如 action!method.do --> <constant name="struts.enable.DynamicMethod...
Struts2.3.15.1升级Struts2.3.32
youxizaixian的专栏
03-08 709
今天突然看到一篇技术文章,说Struts2又出了新的安全漏洞,我赶紧查看Struts2版本,正好在漏洞范围之内,开始了升级之旅,技术文章都建议更新至 Struts 2.3.32 或者 Struts 2.5.10.1 。 我试图一步直接升级到2.5,结果需要升级的补丁太多,已经放弃。 下载Struts2.3.32 :https://dist.apache.org/repos/dist/rel
修复漏洞,升级Struts2版本到2.3.32
K0521k的专栏
03-10 342
              由于Struts2旧版本的安全漏洞问题,需要从旧版本2.3.15.1升级2.3.28.1,碰到了一些问题,分享一下解决办法。                 1.一开始只替换struts2-core-2.3.28.1这个Jar包,不出意外的404了,经过比对,必须替换的包有 struts2-core-2.3.28.1 struts2-json-plugin...
Struts2高位漏洞升级struts2.3.32
淡墨银痕的博客
04-07 2404
Struts2高位漏洞升级struts2.3.323月7日带来了一个高危漏洞Struts2漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。 升级jar包 更新这些jar
struts 2 升级所需jar 包集合(升级2.3.32)
03-24
2. `struts2-core-2.3.32.jar`:这是Struts 2的核心库,包含了框架的主要功能,如Action、Result、Interceptor等。升级此文件意味着框架的核心组件已经更新,以修复S2-045和S2-046等已知漏洞。 3. `xwork-core-...
Struts2.3.15.1版本升级2.3.32详细流程
12-13
Struts2.3.15.1版本升级2.3.32版本详细流程,可解决Struts 2远程执行代码漏洞
struts2-2.3.32-all
03-08
Struts2是一个非常著名的Java Web开发框架,它提供了一种模型-视图-控制器(MVC)架构,便于开发者创建动态、数据驱动...同时,了解并掌握Struts2框架的基本原理和安全配置,对于构建安全的Java Web应用程序至关重要。
骨折多区域X线图片资料数据集
08-02
骨折多区域X线图片资料数据集 数据说明: 该数据集包含10,580张射线图像(X射线)数据。 培训数据 图片数量:9246 验证数据 图片数量:828 测试数据 图片数量:506
[毕业设计]JAVA实现的局域网监听与审计系统(源代码+论文).zip
08-02
[毕业设计]JAVA实现的局域网监听与审计系统(源代码+论文)
Kimsuky 的⽹络钓⻥有效载荷战术中文版.pdf
最新发布
08-02
Kimsuky 的⽹络钓⻥有效载荷战术中文版.pdf
javaweb大作业《基于jsp和servlet的javaweb的蛋糕店售卖网站》+源代码+文档说明
08-02
<项目介绍> - 前台功能 1.商品基本展示,包括推荐商品展示和类型商品展示. 2.推荐商品包括条幅推荐,热销推荐和新品推荐. 3.按照商品类型展示商品. 4.商品详细信息展示. 5.商品加入购物车. 6.修改购物车内商品信息,例如数量等. 6.用户登录. 7.用户注册. 8.修改个人信息,包括密码和收获信息. 9.购物车付款. 等等 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
struts2 代码执行 (CVE-2021-31805)
06-25
Struts 2是一个流行的Java Web应用程序框架,它允许开发人员使用MVC(模型-视图-控制器)架构构建Web应用。CVE-2021-31805是一个严重的安全漏洞,它被称为Struts2漏洞或“S2-057”,影响了Struts 2.3.28及更低版本。这个漏洞涉及到远程代码执行(RCE),攻击者可以通过发送恶意请求到受影响的应用中,利用此漏洞来执行任意代码。 漏洞细节: - 该漏洞源于Struts 2中的文件上传功能,特别是当用户上传包含特殊字符的文件名,可能导致文件路径解析错误,从而绕过访问控制。 - 攻击者可以构造恶意的Action调用URL,通过文件上传字段将恶意脚本嵌入到服务器上,当处理这些请求时,脚本会被执行,从而获取系统权限或执行预定义的操作。 修复措施: - 应尽快升级Struts 2到2.3.32或更高版本,因为官方发布了修复补丁。 - 对上传文件进行严格的验证和清理,避免使用可能被滥用的文件名解析。 - 使用安全的文件上传配置,如限制文件类型、大小和上传目录。 相关问题-- 1. 这个漏洞是如何利用文件上传功能进行攻击的? 2. 如何检查我的Struts 2应用是否受到CVE-2021-31805影响? 3. 在应用升级后,如何配置安全策略来防止类似漏洞再次发生?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值