博客
关于我
更新struts2到2.3.32
阅读量:553 次
发布时间:2019-03-09

本文共 1070 字,大约阅读时间需要 3 分钟。

_struts2远程代码执行漏洞严重,影响广泛,需及时修复

近日,Struts2框架曝出重大远程代码执行漏洞,官方确认多个版本均存在该问题。本文详细分析影响范围及应对措施,帮助开发者快速解决问题。

1.漏洞基本情况

  • 漏洞编号: S2-045
  • CVE编号: CVE-2017-5638
  • 漏洞级别: 高危
  • 影响范围:
    • Struts2.3.5至2.3.31
    • Struts2.5至2.5.10

2.漏洞影响

该漏洞允许攻击者通过特定请求执行远程代码,直接获取服务器控制权。因此,当前使用上述版本的项目必须立即更新。

3.解决方案

  • 升级框架版本:

    • Struts2.3.32
    • Struts2.5.11
  • 更新相关jar包:

    • 核心组件:
      • xwork-core-2.3.32.jar
      • struts2-core-2.3.32.jar
    • 依赖插件:
      • struts2-json-plugin-2.3.32.jar
      • struts2-spring-plugin-2.3.32.jar
      • ognl-3.0.19.jar
      • javassist-3.11.0.GA.jar
    • 模板引擎:
      • freemarker-2.3.22.jar
  • 清理旧配置:

    • 移除不必要的Tiles配置文件:
      • 检查项目是否需要 tiles-common.xml、tiles-auth.xml 等文件
      • 如无需,建议从web.xml中删除相应DEFINIITIONS_CONFIG参数
  • 验证依赖:

    • 检查错误日志:
      -如在转换为struts2-tiles-plugin-2.3.32.jar时出现异常,部署至容器前需确保所有必要文件已正确部署

4.注意事项

  • 防用建议:
    -避免在生产环境中使用普通用户权限,防止被利用漏洞入侵
    -定期备份关键数据,应对突发情况

5.预防措施

  • 设置Web应用 Firewall:

    -利用工具如ModSecurity防护异常请求,防止恶意攻击

  • 启用 CSRF防护:

    -确保Struts配置中启用CSRF防护,减少跨站脚本攻击风险

6.代替方案

  • 切换框架:
    如果无法修复,可以考虑采用其他支持 Injection的框架,以规避潜在风险。

7.资源参考

  • 修复文档:

    https://struts.apache.org/
    /wiki/Struts2%20Documentation

  • 社区支持:

    https://www.apache discussion forums

通过以上步骤,开发者可以有效应对Struts2漏洞,保障项目安全运行。定期检查系统更新,及时修复类似问题,是维护安全的基础措施。

转载地址:http://urhiz.baihongyu.com/

你可能感兴趣的文章
postgres--流复制
查看>>
postgres10配置huge_pages
查看>>
PostgreSQL 10.0 preview sharding增强 - pushdown 增强
查看>>
PostgreSQL 10.0 preview 变化 - pg_xlog,pg_clog,pg_log目录更名为pg_wal,pg_xact,log
查看>>
PostgreSQL 10.1 手册_部分 II. SQL 语言_第 15章 并行查询_15.2. 何时会用到并行查询?...
查看>>
PostgreSQL 10.1 手册_部分 II. SQL 语言_第 9 章 函数和操作符_9.23. 行和数组比较
查看>>
PostgreSQL 10.1 手册_部分 III. 服务器管理_第 21 章 数据库角色
查看>>
Qt开发——网络编程UDP网络广播软件之服务器端
查看>>
Postgresql 12.9如何配置允许远程连接
查看>>
PostgreSQL 9.6 同步多副本 与 remote_apply事务同步级别 应用场景分析
查看>>
Postgresql CopyManager 流式批量数据入库
查看>>
PostgreSQL cube 插件 - 多维空间对象
查看>>
PostgreSQL Daily Maintenance - cluster table
查看>>
PostgreSQL on Linux 最佳部署手册
查看>>
PostgreSQL Oracle 兼容性之 - pipelined
查看>>
PostgreSQL Point-In-Time Recovery (Incremental Backup)
查看>>
postgresql Streaming Replication监控与注意事项
查看>>
postgresql 不需要付费_使用数据传输在PostgreSQL执行 外部连接运算符
查看>>
postgresql 主从配置_生产环境postgresql主从环境配置
查看>>
postgresql 函数&存储过程 ; 递归查询
查看>>