阅读更多

2顶
1踩

企业架构

原创新闻 Struts2安全更新版本发布,请尽快升级

2013-05-27 16:28 by 副主编 wangguo 评论(6) 有14800人浏览



Apache Struts项目团队今天发布了Struts 2.3.14.2版本。尽管这是一个小版本,但解决了一个关键的安全问题:

引用
通过强制在URL中包含参数可触发一个安全漏洞,使得链接标记允许执行远程命令、访问/控制会话以及发起XSS攻击等。


强烈建议所有的开发者立即更新至最新的Struts 2.3.14.2版本。

详细信息可参阅:Version Notes 2.3.14.2

下载地址:http://struts.apache.org/
  • 大小: 13.1 KB
2
1
评论 共 6 条 请登录后发表评论
6 楼 814687491 2013-06-09 11:15
虽然不使用标签,但还是要更新一下!
5 楼 yangy608 2013-05-30 10:38
只用C标签,S标签太罗嗦。
4 楼 mlw2000 2013-05-29 06:05
从几年之前我就建议开发部门禁止使用struts标签
3 楼 shenfuli 2013-05-28 18:10
安全专家扫描我们公司系统的时候就出现了该问题。
2 楼 ahack 2013-05-28 12:33
Struts2任意代码执行漏洞利用:
http://ahack.iteye.com/blog/1873005

有谁会用includeParams标签?,这漏洞实在有点鸡肋了。
1 楼 fncj 2013-05-28 08:56
SpringMVC的路过

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Struts1到Struts2

    Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的...

  • Apache Struts重现严重漏洞,你升级了吗?

    对此,美国网络安全和基础设施安全局 (CISA) 也发布公告敦促组织查看 Apache 的公告,并尽快升级到最新的 Struts 2 补丁版本。 该漏洞被跟踪为 CVE-2021-31805,是由于 2020 年 CVE-2020-17530 (S2-061) 的不完整...

  • linux高危漏洞怎么处理,Struts2高危漏洞解决方案一览

    Apache Struts2作为世界上最流行的Java Web服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者...

  • Struts2 S2-057远程执行代码漏洞(CVE-2018-11776)

    描述: Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 action元素没有设置名称空间属性,或者使用了通配符...

  • php strus2 漏洞攻击_如何发现利用Struts2漏洞的攻击行为

    然而“道高一尺魔高一丈”,黑客深知,从漏洞曝光到用户更新版本存在一定时间差,充分利用这有限的时间窗口进行大范围攻击,就能获取最大收益。因此从用户角度出发,仅仅修补漏洞是不够的,在修补漏洞之前,系统可能...

  • 程序世界系列之-struts2安全漏洞引发的安全杂谈(上)

    1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间...

  • Struts2-057远程代码执行漏洞(s2-057)复现

    Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。...

  • struts2漏洞原理及解决办法

    在Struts2的Model-View-Controller模式实现以下五个核心组件:动作-Actions、拦截器-Interceptors、值栈/OGNL、结果/结果类型、视图技术 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的...

  • Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现

    Apache struts2 namespace远程命令执行—CVE-2018-11776(S2-057)漏洞复现 一、漏洞描述 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签...

  • struts2 简介

     Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。 其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。 Struts 2以WebWork为核心,采用拦截器的机制...

  • Struts2漏洞

    近日,Struts2曝出2个高危安全漏洞,一个是使用缩写的导航参数前缀时的远程代码执行漏洞,另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器...

  • Apache Struts2 再现严重漏洞。。。

    文| 白开水出品 | OSC开源社区(ID:oschina2013)Apache Software Foundation 发布了一个安全公告 S2-062,以解决 Struts 2.0.0 到 2.5.29 版本中存在的一个远程代码执行漏洞;攻击者可以利用此漏洞来控制受影响的...

  • Struts2 和 Struts1.x 的全面比较

    Struts2 的 Action 类实现了一个 Action 接口,连同其他接口一起来实现可选择和自定义的服务。 Struts2 提供一个名叫 ActionSupport 的基类来实现一般使用的接口。当然, Action 接口不是必须的。任何使用 execute ...

  • struts2简要概述一

    Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的...

  • Struts2与Struts1.x的深度比较

    Struts作为MVC 2的Web框架,自推出以来不断受到开发者的追捧,得到广泛的应用。作为最成功的Web框架,Struts自然拥有众多的优点:MVC 2模型的使用、功能齐全的标志库(Tag Library)、开放源代码。 但是,正所谓...

  • Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全

    腾讯安全专家建议所有用户尽快升级到安全版本

  • struts1 和 struts2 区别

    Struts作为MVC 2的Web框架,自推出以来不断受到开发者的追捧,得到广泛的应用。作为最成功的Web框架,Struts自然拥有众多的优点:MVC 2模型的使用、功能齐全的标签库(Tag Library)、开放源代码。但是,正所谓...

  • 【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程

    Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入...

  • 从数据包视角解析新型Struts2漏洞攻击全过程

    本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在...

  • Struts2--百度百科

    Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理...

Global site tag (gtag.js) - Google Analytics