Struts2 漏洞 升级方案 更换jar包清单

最新推荐文章于 2024-07-11 20:06:21 发布
最新推荐文章于 2024-07-11 20:06:21 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: SSH 文章标签: Struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010004082/article/details/79351482
版权
博客讨论了Struts2框架的S2-045和S2-046高危漏洞,影响多个版本。攻击者通过特定HTTP请求头可执行远程代码。解决方案包括过滤Content-Type和filename字段,以及升级至Struts2的2.3.32或2.5.10.1版本。项目从2.3.31升级到2.3.32,涉及9个jar包的更换。
摘要由CSDN通过智能技术生成

近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞。S2-046(CNNVD编号:CNNVD-201703-152; CVE编号:CVE-2017-5638)

漏洞的报告者来自三家:qualcomm(高通)、dbappsecurity(杭州安恒)、HPE(惠普企业)。

漏洞概要

Apache Struts 2 2.3.32之前的2 2.3.x版本和2.5.10.1之前的2.5.x版本中的Jakarta Multipart解析器存在安全漏洞,该漏洞源于程序没有正确处理文件上传。攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程任意代码执行。

受影响的软件版本为:Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10

S2-045漏洞影响

攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程代码执行。

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

S2-046漏洞影响(更新)

触发条件

上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小(2GB)。

header中的Content-Disposition中包含空字节。

文件名内容构造恶意的OGNL内容。

修复建议</

最低0.47元/天 解锁文章
飞鸟的轨迹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts 2 升级所需jar 包集合(升级到2.3.32)
03-24
最近,Struts2接连曝出高危漏洞S2-045、S2-046
Struts2最新漏洞升级2.3.32版本
03-22
1、升级需要jar(见附件): freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下struts.xml 文件,加上: 这两行请不要加在外边。“加在这里”
Struts 2.0.0 至 2.1.8.1 远程命令执行漏洞(CVE-2010-1870)
最新发布
Flag少侠的博客
07-11 8840
打开靶场靶场页面有一个选择语言的功能打开 BurpSuite 开启数据包拦截抓包修改请求体为 POST,并构造恶意的 payload分步解析开头的会告诉Struts2框架将用户重定向到构造的URL。但在这里我们主要利用它的表达式注入能力。${...}${...}表示一个OGNL表达式,Struts2会解释和执行这个表达式。#req这部分获取当前的HTTP请求对象。使用字符串拼接来绕过某些安全过滤器。#s这里我们使用来执行系统命令。在这个例子中,执行的命令是。读取命令输出。#str。
struts2漏洞升级
java developer
11-06 98
Struts2框架缺陷造成的远程执行漏洞, Struts2中WebWork框架使用XWork来支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 1. 通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下 http://host/strut...
struts2.3.35漏洞升级全部JAR包
06-27
struts漏洞升级全部JAR包,struts2从2.3.15.1升级到2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包
struts2漏洞升级指南
z69183787的专栏
12-04 1558
Struts2框架缺陷造成的远程执行漏洞, Struts2中WebWork框架使用XWork来支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 升级方法 1.maven管理jar包的可以直接在pom中把Convention插件实现struts2的零配置和spring中struts2插件升级为最新的版本,
struts2漏洞升级jar包
02-19
标题“struts2漏洞升级jar包”指的是针对Struts2框架的特定安全漏洞发布的修复补丁,这些补丁通常以更新的jar包形式提供。升级过程涉及替换旧的、易受攻击的jar包为新版本,以消除潜在的安全风险。 描述中提到,...
Struts2远程执行漏洞 Jar包集合体
08-26
确保正确地替换升级这些库,以保护系统免受上述Struts2漏洞的影响。同时,配合防火墙和入侵检测系统等安全设备,可以进一步增强系统的安全性。总的来说,理解和应对Struts2的这些漏洞对于保障企业信息系统安全至关...
Struts2_045漏洞修复jar包和检测工具(亲测可用)
05-14
Struts2_045漏洞修复jar包和检测工具 freemarker-2.3.22.jar ognl-3.0.21.jar struts2-core-2.3.34.jar xwork-core-2.3.34.jar struts2-json-plugin-2.3.34.jar struts2-junit-plugin-2.3.34.jar struts2-spring-...
struts2-2.5源码包含jar包
12-14
struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-2.5源码包含jar包struts2-...
Struts2漏洞2.0.xx升级Struts-2.5.12步骤
08-17
本人测试通过。Struts2漏洞2.0.xx升级Struts-2.5.12步骤。压缩包包含升级步骤,及struts2.5.12所需要的libs.
struts 2 升级所需jar 包集合(升级到2.3.15.1)
07-13
1.javassist-3.11.0.GA.jar 2.asm-3.3.1 3.asm-commons-3.3 4.commons-io-2.0.1 5.commons-lang-2.5 6.commons-lang3-3.1 7.ognl-3.0.6 8.struts2-convention-plugin-2.3.15.1 9.struts2-core-2.3.15.1 10.xwork-core-2.3.15.1 11.struts2-json-plugin-2.3.8.jar
从2.1.6升级到2.3.32版本需要替换jar包
01-10
struts2.1.6升级struts2.3.32版本,没有与spring整合,替换掉同名字的jar包就可以了
struts-2.3.35 升级jar包
08-23
struts 高危漏洞升级struts-2.3.35所需要的所有jar包
struts2核心jar包漏洞已经修复)
08-24
struts2核心jar包漏洞已经修复)
s2-045漏洞补丁struts-2.3.32最新免费版
07-29
近日安全研究院WEBIN实验室高级安全研究员发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 这里提供了s2-045漏洞补丁 struts-2.3.32,大家可以试试! 该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:
struts2漏洞版本升级过程
happ1213的博客
02-11 697
转自:http://www.blogjava.net/ldwblog/archive/2013/10/14/404944.html   struts2出现的漏洞以及影响:http://www.iteye.com/news/28053#commentshttp://baike.baidu.com/link?url=6-45Efjxfsz2J74shu4sfd9G4ASrYig3ovFgBZ...
SpringBoot jar项目更换lib 文件夹下的相关依赖jar包
zhouzhiwengang的专栏
07-22 5442
springboot项目在使用压缩软件替换lib下的依赖包后,启动报错,报错内容如下: Exception in thread "main" java.lang.IllegalStateException: Failed to get nested archive for entry BOOT-INF/lib/***-0.0.1-SNAPSHOT.jar.jar 原因: 替换或者导入jar包时,jar包被自动压缩,springboot规定嵌套的jar包不能在被压缩的情况下存储。 解决办法: 1、
log4j2 源码JNDI漏洞,脚本方式替换jar 包中的log4j2
wumingxiaozei的博客
12-14 1609
source /etc/profile # xxx包路径 RDMS_DDM_HOME=/usr/setup/ddm/work_ddm/rdms_proxy # xxxx包路径 DDM_HOME_BIGDATA=/usr/setup/ddm/work_ddm/bigdata_proxy #时间 CURRENT_DATE="`date +%Y%m%d%H%M%S`" # xxx包路径 DDM_HOME=/usr/setup/ddm/work_ddm/admin/ #关系型log4j jar包替换 functi.
Struts2开发入门与必备jar包详解
1. struts2-core-2.x.x.jar: 这是Struts2框架的核心类库,包含了所有必需的类和接口,如Action、Result等,用于构建应用程序的基础结构。 2. xwork-2.x.x.jar: XWork是Struts2底层的工作流框架,提供了基于注解的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值