struts2升级2.3.32或2.5.10.1
2017-03-23 15:59
323 查看
漏洞年年有,最近特别多。2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。
漏洞分析请移步:https://yq.aliyun.com/articles/72008
建议
如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本
升级struts2.3.32比较简单,更换对应jar即可
升级struts2.5.10.1比较麻烦,需要注意:
(1) strutsPrepareAndExecuteFilter路径变了:
(2) struts.xml文件中的版本得变成2.5
<!DOCTYPE
strutsPUBLIC
"-//ApacheSoftware Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd">
(3) 使用通配符是找不到对应的action,需要设置:
<global-allowed-methods>regex:.*</global-allowed-methods>,最好是全局设置:
注意:package中的设置排列是按一定顺序排列的,如何乱排启动会报错的,到时候可自行根据提示信息按要求排序。
(4) struts的标签改变,目前发现的有:<s:property escape=”false”/>,escape换成了escapeHtml;<s:iteratorid=””></s:iterator>,id换成var;
(5) 升级后使用的是log4j2,而不是log4j,需要log4j-api-2.7.jar和
log4j-core-2.7.jar,并且配置 log4j2.xml
(6) 升级后jdk需要1.7以上
更换对应jar包:
漏洞分析请移步:https://yq.aliyun.com/articles/72008
建议
如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本
升级struts2.3.32比较简单,更换对应jar即可
升级struts2.5.10.1比较麻烦,需要注意:
(1) strutsPrepareAndExecuteFilter路径变了:
(2) struts.xml文件中的版本得变成2.5
<!DOCTYPE
strutsPUBLIC
"-//ApacheSoftware Foundation//DTD Struts Configuration 2.5//EN"
"http://struts.apache.org/dtds/struts-2.5.dtd">
(3) 使用通配符是找不到对应的action,需要设置:
<global-allowed-methods>regex:.*</global-allowed-methods>,最好是全局设置:
注意:package中的设置排列是按一定顺序排列的,如何乱排启动会报错的,到时候可自行根据提示信息按要求排序。
(4) struts的标签改变,目前发现的有:<s:property escape=”false”/>,escape换成了escapeHtml;<s:iteratorid=””></s:iterator>,id换成var;
(5) 升级后使用的是log4j2,而不是log4j,需要log4j-api-2.7.jar和
log4j-core-2.7.jar,并且配置 log4j2.xml
(6) 升级后jdk需要1.7以上
更换对应jar包:
相关文章推荐
- Struts2版本2.3.24升级2.5.10.1小结
- Struts2高位漏洞升级到struts2.3.32
- struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
- 升级到Struts 2.3.32问题-struts2校验文件不起作用
- struts2 2.5.10.1升级至2.5.13
- struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
- 升级Struts2 2.3.15.1升级到2.3.32
- struts2 2.3xxx 升级至 2.5.10.1中遇到的问题
- struts2 升级至2.3.32
- struts2 升级 struts-2.3.32 和 struts-2.5.10以上版本报404错误问题
- Struts2版本2.3.24升级2.5.10.1小结
- struts2-2.3.24.1升级Struts2-2.3.32避免远程代码执行漏洞
- struts2 2.3.32升级到2.5.13,kindeditor图片上传问题
- struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
- Struts2升级到struts2.5.10.1
- struts2升级至2.3.24方法
- 不知道哪位大神给个建议,Struts2.3.15.1升级为Struts2.3.32时出错
- Struts2报出安全漏洞,升级jar后遇到的上传问题。
- 关于S2-045漏洞,由struts2.5升级到struts2.5.10.1的步骤
- struts1.x 升级到struts2的几点问题