struts2漏洞升级指南
2014-12-04 15:17
204 查看
因Struts2框架缺陷造成的远程执行漏洞, Struts2中WebWork框架使用XWork来支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-convention-plugin</artifactId>
<version>2.3.4</version>
</dependency>
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-spring-plugin</artifactId>
<version>2.3.4</version>
</dependency>
如果用到单元测试的话,要添加
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>2.5.6</version>
</dependency>
2.如果没有用maven,可以把 ognl-2.7.3.jar、struts2-core-2.1.8.jar、struts2-spring-plugin-2.1.8.jar、xwork-core-2.1.6.jar、commons-lang-2.4.jar、javassist-3.4.GA.jar六个文件;(注:具体的对应自己的版本,删除文件之前请先将六个文件备份一下,已方便快速恢复。)替换成ognl-3.0.5.jar、struts2-core-2.3.4.jar、struts2-spring-plugin-2.3.4.jar、xwork-core-2.3.4.jar、javassist-3.11.0.GA.jar、commons-lang3-3.1.jar
3.需要注意的是升级后项目中有些地方可能会报错,其中有
导入的包路径org.apache.commons.lang.xwork.StringEscapeUtils改为org.apache.commons.lang.StringEscapeUtils
其他的根据实际情况改改,大功告成,
升级方法
1.maven管理jar包的可以直接在pom中把Convention插件实现struts2的零配置和spring中struts2插件升级为最新的版本,<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-convention-plugin</artifactId>
<version>2.3.4</version>
</dependency>
<dependency>
<groupId>org.apache.struts</groupId>
<artifactId>struts2-spring-plugin</artifactId>
<version>2.3.4</version>
</dependency>
如果用到单元测试的话,要添加
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>2.5.6</version>
</dependency>
2.如果没有用maven,可以把 ognl-2.7.3.jar、struts2-core-2.1.8.jar、struts2-spring-plugin-2.1.8.jar、xwork-core-2.1.6.jar、commons-lang-2.4.jar、javassist-3.4.GA.jar六个文件;(注:具体的对应自己的版本,删除文件之前请先将六个文件备份一下,已方便快速恢复。)替换成ognl-3.0.5.jar、struts2-core-2.3.4.jar、struts2-spring-plugin-2.3.4.jar、xwork-core-2.3.4.jar、javassist-3.11.0.GA.jar、commons-lang3-3.1.jar
3.需要注意的是升级后项目中有些地方可能会报错,其中有
导入的包路径org.apache.commons.lang.xwork.StringEscapeUtils改为org.apache.commons.lang.StringEscapeUtils
其他的根据实际情况改改,大功告成,
相关文章推荐
- RFS的web自动化验收测试——Selenium2Library升级指南(补充一个问题)
- 企业IT管理员IE11升级指南【4】—— IE企业模式介绍
- 《魔兽世界》联盟1-60级升级地点指南
- [转载]Nginx实用指南V1 (连载之三:启动与停止与平滑升级)
- PHP7 升级指南(Windows)
- Google Maps API第二版升级指南
- 企业IT管理员IE11升级指南【9】—— IE10与IE11的功能
- RFS的web自动化验收测试——Selenium2Library1.0.0升级指南(补充一个问题)
- 【不看JQuery1.9升级指南造成的问题】MVC Jquery1.9慎用!jquery.unobtrusive-ajax.js兼容问题
- Linux Python详细安装、升级指南
- 企业IT管理员IE11升级指南【7】—— Win7和Win8.1上的IE11功能对比
- 企业IT管理员IE11升级指南【7】—— Win7和Win8.1上的IE11功能对比
- 软件包管理 之 用apt+synaptic 在线安装或升级Fedora core 4.0 软件包── 为新手指南
- Angular4.0.0正式发布,附新特性及升级指南
- zabbix中文配置指南之升级操作
- 7月29日完整的Win10正式版升级指南 Win10升级步骤及问题汇总
- System Center 2012 R2 UR7升级指南
- Nginx实用指南V1 (连载之三:启动与停止与平滑升级)
- LINUX内核编译升级指南
- Ubuntu桌面生存指南 (4) --- Ubuntu系统备份恢复升级策略