`

Struts2.5.10.1升级

阅读更多

最近网络安全抓的很严,上头要我们升级Struts2,而且我们那扫描漏洞的工具很强,非逼得我一定要将Struts2升级到2.5.10.1版本才行,没法,网上搜索了一番,再实战鼓捣了一阵,终于完成了任务。

 

一,漏洞。

2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。

 

二,升级所需要的Jar包。(替换后本人亲测可用!)


三,包路径的变更。

Jar包替换好以后,即使运行了也会报错,因为2.5版本已变更了包路径:

<filter>
    <filter-name>struts2</filter-name>
    <filter-class>  org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
    </filter-class>
  </filter>

然后web.xml里配成上面这样就对了。

 

四,程序启动后找不到action怎么办。

之前那篇博文讲了,Struts2配置文件里面,action要配上<allowed-methods>标签!

分享到:
评论

相关推荐

    struts2.5.10.1 jar包

    Struts2.5.10.1是一款流行的Java Web应用程序框架,主要用于构建MVC(Model-View-Controller)架构的应用程序。此版本的Struts2是Apache软件基金会维护的Struts2框架的一个重要发行版,提供了许多改进和新特性。 在...

    struts 2.5.10.1官方最新版

    Struts 2.5.10.1是该框架的一个官方更新版本,旨在提供改进的性能、增强的安全性和最新的依赖库。 在Struts 2.5.10.1这个版本中,开发者可以期待以下关键特性: 1. **性能优化**:官方可能已经对框架的内部结构...

    struts-2.5.10.1 官方发布最新版本

    Struts 2.5.10.1 是 Apache 软件基金会官方发布的 Struts 框架的一个重要更新版本。Struts 是一个基于 Model-View-Controller (MVC) 设计模式的 Java web 应用开发框架,它极大地简化了创建功能丰富的、交互式的 web...

    Struts2版本2.3.*升级2.5.10.1用到的log4j的包(含log4j-1.2-api-2.7)

    struts2.5.10.1 使用的是log4j2 所以需要导入log4j-api-2.7log4j-core-2.7 这两个jar包 并且为了从log4j 平稳的过度到log4j2导入log4j-1.2-api-2.7 jar(避免修改代码)

    Struts2.3.15.1版本升级到2.3.32详细流程

    该漏洞同样影响到了Struts 2.3.32之前的2.3.x版本以及2.5.10.1之前的2.5.x版本。S2-046被认为是极其危险的漏洞,一旦被利用,将可能引起数据泄露、网页篡改等严重后果。 #### 升级指南 为了解决上述安全问题,最...

    SSH框架最新版本整合JAR包Strtus2 2.5.10.1+Spring3.2.18+Hibernate3.6.10(SSH-JAR)

    框架升级Struts2.5.10.1解决Struts2存在远程命令执行漏洞,升级后需要在struts.xml.文件中修改action加入,详细可以问度娘.该框架已经实际应用至实战项目(贵州人才在线:www.gzrczx.com)中.本人自己已经收藏.

    struts2.3.16升级到struts2.5.13

    1. **安全更新**:Struts2.5系列引入了大量安全修复,包括针对已知漏洞的补丁,如CVE-2017-9791、CVE-2017-5638(著名的S2-045漏洞)。升级可以避免这些漏洞被恶意利用,提高应用的安全性。 2. **兼容性变化**:从...

    struts-2.5

    Struts 2.5版本的发布旨在提供更好的性能、安全性和可维护性,同时保持与早期版本的向后兼容性,以便于升级现有项目。 1. **MVC模式**:Struts 2.5遵循MVC架构,将应用程序逻辑分解为模型、视图和控制器三个部分,...

    struts2-core-2.3.31.jar

     用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。  【升级修复】  受影响用户可升级版本至...

    struts2045修复建议及补丁

    - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-...

    struts2.3.32.zip

    1. **立即升级**: 如果你的应用程序使用了Apache Struts且版本低于2.3.32或2.5.10.1,应立即升级到这两个版本之一。 2. **安全配置**: 配置Struts以禁用不受信任的文件上传功能,或者使用更安全的文件解析器。 3. ...

    Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包

    2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-...

    struts2.3.32-20170316-all .zip

    可以解决struts2-S2-045远程代码执行漏洞 漏洞编号 CVE-2017-5638 如果用户使用基于Jakarta的多分片文件上传解析器,强烈建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本。

    struts2-016/017漏洞解决

    Struts2 S2-016漏洞,全称为“Struts2 OGNL注入漏洞”,主要出现在Struts2的2.3.5到2.3.31以及2.5.0到2.5.10.1版本之间。这个漏洞允许攻击者通过恶意构造的OGNL(Object-Graph Navigation Language)表达式来执行...

    Apache Struts2(S2-045)漏洞升级指南

    - Struts2.5.10.1 #### 四、升级指南 为确保应用程序的安全性和稳定性,推荐使用官方提供的升级包进行修复。以下是详细的升级步骤: 1. **下载最新版本的Struts2升级包**: - 下载地址: ...

    struts2漏洞升级最新包2.3.15.1

    这个漏洞影响了Struts2的2.3.5至2.3.31版本以及2.5.0至2.5.10.1版本。 2. **CVE-2018-11776**:这是一个由于.struts.properties文件处理不当而引发的漏洞,可能导致远程代码执行。此漏洞存在于2.3.x系列的多个版本...

    Struts2更新漏洞

    在描述中提到的“Struts2更新漏洞”可能指的是2017年的S2-045漏洞,这是一个高严重性的漏洞,影响了Struts2的2.3.5至2.3.31版本,以及2.5.0至2.5.10.1版本。攻击者可以通过构造恶意的HTTP请求,利用DMI特性来执行...

    低版本struts2升级高版本避免漏洞方案

    - 根据给定的信息,可以前往[http://download.csdn.net/detail/u014307845/9788706](http://download.csdn.net/detail/u014307845/9788706)下载最新的Struts2版本2.5.10.1。 - 下载完成后解压,准备好替换现有项目...

    精通 Hibernate:Java 对象持久化技术详解(第2版).part1.rar

     2.5 小结  2.6 思考题 第3章 第一个Hibernate应用  3.1 创建Hibernate的配置文件  3.2 创建持久化类  3.3 创建数据库Schema  3.4 创建对象-关系映射文件  3.4.1 映射文件的文档类型定义(DTD)  3.4.2 把...

Global site tag (gtag.js) - Google Analytics