最近网络安全抓的很严,上头要我们升级Struts2,而且我们那扫描漏洞的工具很强,非逼得我一定要将Struts2升级到2.5.10.1版本才行,没法,网上搜索了一番,再实战鼓捣了一阵,终于完成了任务。
一,漏洞。
2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。
二,升级所需要的Jar包。(替换后本人亲测可用!)
三,包路径的变更。
Jar包替换好以后,即使运行了也会报错,因为2.5版本已变更了包路径:
<filter> <filter-name>struts2</filter-name> <filter-class> org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter </filter-class> </filter>
然后web.xml里配成上面这样就对了。
四,程序启动后找不到action怎么办。
之前那篇博文讲了,Struts2配置文件里面,action要配上<allowed-methods>标签!
相关推荐
Struts2.5.10.1是一款流行的Java Web应用程序框架,主要用于构建MVC(Model-View-Controller)架构的应用程序。此版本的Struts2是Apache软件基金会维护的Struts2框架的一个重要发行版,提供了许多改进和新特性。 在...
Struts 2.5.10.1是该框架的一个官方更新版本,旨在提供改进的性能、增强的安全性和最新的依赖库。 在Struts 2.5.10.1这个版本中,开发者可以期待以下关键特性: 1. **性能优化**:官方可能已经对框架的内部结构...
Struts 2.5.10.1 是 Apache 软件基金会官方发布的 Struts 框架的一个重要更新版本。Struts 是一个基于 Model-View-Controller (MVC) 设计模式的 Java web 应用开发框架,它极大地简化了创建功能丰富的、交互式的 web...
struts2.5.10.1 使用的是log4j2 所以需要导入log4j-api-2.7log4j-core-2.7 这两个jar包 并且为了从log4j 平稳的过度到log4j2导入log4j-1.2-api-2.7 jar(避免修改代码)
该漏洞同样影响到了Struts 2.3.32之前的2.3.x版本以及2.5.10.1之前的2.5.x版本。S2-046被认为是极其危险的漏洞,一旦被利用,将可能引起数据泄露、网页篡改等严重后果。 #### 升级指南 为了解决上述安全问题,最...
框架升级Struts2.5.10.1解决Struts2存在远程命令执行漏洞,升级后需要在struts.xml.文件中修改action加入,详细可以问度娘.该框架已经实际应用至实战项目(贵州人才在线:www.gzrczx.com)中.本人自己已经收藏.
1. **安全更新**:Struts2.5系列引入了大量安全修复,包括针对已知漏洞的补丁,如CVE-2017-9791、CVE-2017-5638(著名的S2-045漏洞)。升级可以避免这些漏洞被恶意利用,提高应用的安全性。 2. **兼容性变化**:从...
Struts 2.5版本的发布旨在提供更好的性能、安全性和可维护性,同时保持与早期版本的向后兼容性,以便于升级现有项目。 1. **MVC模式**:Struts 2.5遵循MVC架构,将应用程序逻辑分解为模型、视图和控制器三个部分,...
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar文件,如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。 【升级修复】 受影响用户可升级版本至...
- 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-...
1. **立即升级**: 如果你的应用程序使用了Apache Struts且版本低于2.3.32或2.5.10.1,应立即升级到这两个版本之一。 2. **安全配置**: 配置Struts以禁用不受信任的文件上传功能,或者使用更安全的文件解析器。 3. ...
2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-...
可以解决struts2-S2-045远程代码执行漏洞 漏洞编号 CVE-2017-5638 如果用户使用基于Jakarta的多分片文件上传解析器,强烈建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本。
Struts2 S2-016漏洞,全称为“Struts2 OGNL注入漏洞”,主要出现在Struts2的2.3.5到2.3.31以及2.5.0到2.5.10.1版本之间。这个漏洞允许攻击者通过恶意构造的OGNL(Object-Graph Navigation Language)表达式来执行...
- Struts2.5.10.1 #### 四、升级指南 为确保应用程序的安全性和稳定性,推荐使用官方提供的升级包进行修复。以下是详细的升级步骤: 1. **下载最新版本的Struts2升级包**: - 下载地址: ...
这个漏洞影响了Struts2的2.3.5至2.3.31版本以及2.5.0至2.5.10.1版本。 2. **CVE-2018-11776**:这是一个由于.struts.properties文件处理不当而引发的漏洞,可能导致远程代码执行。此漏洞存在于2.3.x系列的多个版本...
在描述中提到的“Struts2更新漏洞”可能指的是2017年的S2-045漏洞,这是一个高严重性的漏洞,影响了Struts2的2.3.5至2.3.31版本,以及2.5.0至2.5.10.1版本。攻击者可以通过构造恶意的HTTP请求,利用DMI特性来执行...
- 根据给定的信息,可以前往[http://download.csdn.net/detail/u014307845/9788706](http://download.csdn.net/detail/u014307845/9788706)下载最新的Struts2版本2.5.10.1。 - 下载完成后解压,准备好替换现有项目...
2.5 小结 2.6 思考题 第3章 第一个Hibernate应用 3.1 创建Hibernate的配置文件 3.2 创建持久化类 3.3 创建数据库Schema 3.4 创建对象-关系映射文件 3.4.1 映射文件的文档类型定义(DTD) 3.4.2 把...