近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息,让我们这些从事javaweb软件开发,并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作...
我们的很多项目都是基于Struts2的,这也让我们必须对此做出及时正确的响应。及时升级Struts2是最快最能解决根本问题的方式。困难在于各个项目的Struts2原有版本都不尽相同。
本文记录Struts2-2.3.4升级到2.3.15.1并且最少化改动已有工程代码的情况下的步骤
1.删除的jar包
jsonplugin-0.30.jar(此jar由struts2-json-plugin-2.3.15.1.jar代替,如果以前采用过其他jsonplugin插件的话)
2.添加的jar包
commons-lang3-3.1.jar
struts2-json-plugin-2.3.15.1.jar
3.替换的jar包
将原有低版本的ognl-x.x.x.jar替换为ognl-3.0.6.jar
将原有低版本的struts2-core-x.x.x.x.jar替换为struts2-core-2.3.15.1.jar
将原有低版本的xwork-core-x.x.x.x.jar替换为xwork-core-2.3.15.1.jar
将原有低版本的javassist-x.x.x.jar替换为javassist-3.11.0.GA.jar
4.xwork-conversion.properties
注释掉java.lang.Enum=com.opensymphony.xwork2.util.EnumTypeConverter
5.替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction",并将xml的头部信息修改为:
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
6.修改struts.xml中返回类型为json的处理类相关的配置。(如果你的工程原来采用的是其他的json类型处理插件的话)
将其中片段修改成如下状态:
<result-types>
<!-- 添加的自定义类型JSON对象 -->
<!--
<result-type name="json" class="com.googlecode.jsonplugin.JSONResult" />
-->
<result-type name="json" class="org.apache.struts2.json.JSONResult" />
</result-types>
7.所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。(如果你的工程原来采用的是其他的json类型处理插件的话)
8.struts2标签库的升级
将原有的struts-tag.tld升级为最新。