struts2.3.23升级到struts2.3.32

最新推荐文章于 2020-06-25 13:12:53 发布
最新推荐文章于 2020-06-25 13:12:53 发布
阅读量168 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/shugen/p/6862967.html
版权

新的漏洞

3月8号去审计厅培训系统的使用,那边计算机中心的负责人递过来一张如下图所示的文档,意思是发现了struts2的漏洞,需要进行修复。

在培训前,我登录到服务器中,看到了项目中,所有的服务器中应用的都是struts2.3.20版本,于是默默地答应进行升级,在我心里,struts2出现漏洞是很正常的事情。。

升级准备

升级前,系统项目各个jar包的版本如下:

<!-- https://mvnrepository.com/artifact/antlr/antlr -->
<dependency>
    <groupId>antlr</groupId>
    <artifactId>antlr</artifactId>
    <version>2.7.7</version>
</dependency>

<!-- https://mvnrepository.com/artifact/aopalliance/aopalliance -->
<dependency>
    <groupId>aopalliance</groupId>
    <artifactId>aopalliance</artifactId>
    <version>1.0</version>
</dependency>
<!-- https://mvnrepository.com/artifact/aspectj/aspectjrt -->
<dependency>
    <groupId>aspectj</groupId>
    <artifactId>aspectjrt</artifactId>
    <version>1.5.4</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.aspectj/aspectjweaver -->
<dependency>
    <groupId>org.aspectj</groupId>
    <artifactId>aspectjweaver</artifactId>
    <version>1.5.4</version>
</dependency>
<!-- https://mvnrepository.com/artifact/com.mchange/c3p0 -->
<dependency>
    <groupId>com.mchange</groupId>
    <artifactId>c3p0</artifactId>
    <version>0.9.5</version>
</dependency>

<!-- https://mvnrepository.com/artifact/org.springframework/spring-context -->
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-aop</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-aspects</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-beans</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-context-support</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-core</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-expression</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-jdbc</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-orm</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-jms</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-oxm</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-test</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-tx</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-web</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-webmvc-portlet</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-websocket</artifactId>
    <version>4.2.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-core</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-json-plugin</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-spring-plugin</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.freemarker</groupId>
    <artifactId>freemarker</artifactId>
    <version>2.3.23</version>
</dependency>

根据发出的通告可知,目前安全的是struts2.3.32struts2.5.10.1.昨天我的第一想法就是直接在maven中进行更改struts2的版本,而恶心的是,居然这两个版本都没有(我刚才看了一下,maven中央仓库中已经有了)。因此,我的做法是从struts官网直接下载的分发包来完成替换的。还好,现在已经在maven中央仓库发布了,主要涉及一下四个包:

<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-core</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-json-plugin</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-spring-plugin</artifactId>
    <version>2.3.23</version>
</dependency>
<dependency>
    <groupId>org.freemarker</groupId>
    <artifactId>freemarker</artifactId>
    <version>2.3.23</version>
</dependency>

把相应的jar包替换完之后,就可以平稳地升级到struts2.3.32了。由于struts2.5变动比较大,暂时先不升级到struts2.5.10了。

漏洞说明

这里写图片描述

这里写图片描述

转载于:https://www.cnblogs.com/shugen/p/6862967.html

weixin_30314631
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2.3.15.1版本升级到2.3.32详细流程
12-13
Struts2.3.15.1版本升级到2.3.32版本详细流程,可解决Struts 2远程执行代码漏洞
升级Struts2.3.32
huan1213858的博客
09-13 286
struts
Struts2.3.15.1升级Struts2.3.32
youxizaixian的专栏
03-08 670
今天突然看到一篇技术文章,说Struts2又出了新的安全漏洞,我赶紧查看Struts2版本,正好在漏洞范围之内,开始了升级之旅,技术文章都建议更新至 Struts 2.3.32 或者 Struts 2.5.10.1 。 我试图一步直接升级到2.5,结果需要升级的补丁太多,已经放弃。 下载Struts2.3.32 :https://dist.apache.org/repos/dist/rel
升级Struts2 2.3.15.1升级到2.3.32
z2011like1的博客
03-13 5350
由于struts2漏洞升级  原来升级到2.3..28.1 文件记载的很多东西都已丢失,最近内网的一个服务器需要公布到外网上,正好又遇到了 S2-045漏洞。以前记载的东西都已丢失。 所以在网上开记载。同时和大家分享。 升级到 2.3..28.1基本替换的架包 xwork-core-2.3.28.1.jar ;struts2-json-plugin-2.3.28.1.jar;
Struts2 2.5 jar
09-06
commons-fileupload-1.3.3.jar commons-io-2.4.jar commons-lang3-3.6.jar freemarker-2.3.23.jar javassist-3.20.0-GA.jar log4j-api-2.8.2.jar ognl-3.1.12.jar struts2-core-2.5.12.jar
struts2精简包
09-07
搭建struts时需要的精简jar包,包括commons-fileupload-1.3.3.jar,commons-lang3-3.6.jar,freemarker-2.3.23.jar,javassist-3.21.0-GA.jar,log4j-api-2.9.0.jar,ognl-3.1.12.jar,struts2-core-2.5.12.jar
struts2所需基本jar包
10-18
stuts2的11个必须的基本jar包 commons-fileupload-1.3.3 commons-io-2.5 ...freemarker-2.3.23 javassist-3.20.0-GA log4j-api-2.8.2 ognl-3.1.15 struts2-core-2.5.13 xmlpull-1.1.3.1 xwork-core-2.2.1
struts-2.5.10-all所有jar包
03-07
1.3.2.jar,commons-io-2.4.jar,commons-lang-2.4.jar,commons-lang3-3.4.jar,commons-logging-1.1.3.jar,dwr-1.1.1.jar,ezmorph-1.0.6.jar,freemarker-2.3.23.jar,google-collections-1.0.jar,google-gxp-0.2.4-beta...
struts-2.5.2-all所有jar包
08-04
freemarker-2.3.23.jar, google-collections-1.0.jar, google-gxp-0.2.4-beta.jar, hamcrest-core-1.3.jar, jackson-annotations-2.6.0.jar, jackson-core-2.6.1.jar, jackson-databind-2.6.1.jar, javassist-3.20.0...
2017年Struts漏洞修复:版本从2.3.15.1升级到2.3.32
04-26
NULL 博文链接:https://jsczxy2.iteye.com/blog/2365402
struts2从2.3.26升级2.3.34的文档
06-04
该文档是struts2从2.3.26升级到2.3.34的方法,包括文档和相关的jar
struts2.3.32 下载
03-08
struts2.3.32最新包,可以解决Struts2-S2-045远程代码执行漏洞。
struts2.3.32版本升级升级步骤
04-13
Apache官方已针对该漏洞发布安全公告,ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
Struts2最新漏洞升级2.3.32版本
03-22
1、升级所需要的jar(见附件): freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下struts.xml 文件,加上: 这两行请不要加在外边。“加在这里”
Strut2框架从3.2.16.3升级到3.2.32遇到的问题
LavanSum的博客
12-06 373
今天将公司Web项目(JSRM)从的Struts框架从2.3.16.3版本升级到2.3.32版本,因为2.3.16版本出现了高危漏洞,项目是maven项目,所以升级方法是将项目用到的struts相关包全部升级到2.3.32版本中的包(主要包如struts-core, xwork-core,struts2-spring-plugin,struts2-json-plugin等等版本升高了,其他包的版本没
传统框架struts:S2-045漏洞如何彻底解决(struts2.3.15升级到2.3.32 )
follow大师兄的博客
06-25 1148
S2-045:Struts 2远程执行代码漏洞 漏洞描述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10漏洞影响:基于Jakarta Multipart解析器执行文件上传时可能的RCE影响版本:Struts 2.3.5 - Struts 2.3.31Struts
Struts2.3.34 升级事项
Aimmon
09-12 4630
一 . 2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。 影响范围:Struts 2.0.1 – Sturts 2.3.33    Struts 2.5 –
请使用eclipse,在freemaker2.3.23版本jar包下写一段代码将数据写入已准备好的ftl模板,并产生一个word文档
最新发布
05-13
首先,需要在 Eclipse 中创建一个 Java 项目,并将 freemarker-2.3.23.jar 添加到项目中。 然后,需要准备好一个 FTL 模板文件,可以在其中指定数据的显示方式。 接下来,可以使用以下代码将数据写入 FTL 模板,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值