struts2漏洞升级


因Struts2框架缺陷造成的远程执行漏洞, Struts2中WebWork框架使用XWork来支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。

1.  通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()} 

2.  通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:
http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/

Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。


下载最新JAR并做替换:
把 ognl-2.7.3.jar、struts2-core-2.1.8.jar、struts2-spring-plugin-2.1.8.jar、xwork-core-2.1.6.jar、commons-lang-2.4.jar、javassist-3.4.GA.jar六个文件;(注:具体的对应自己的版本,删除文件之前请先将六个文件备份一下,已方便快速恢复。)替换成ognl-3.0.5.jar、struts2-core-2.3.4.jar、struts2-spring-plugin-2.3.4.jar、xwork-core-2.3.4.jar、javassist-3.11.0.GA.jar、commons-lang3-3.1.jar

你可能感兴趣的:(struts2)