网站首页 技术笔记正文

struts2 漏洞编号S2-045 升级方案 更换jar包清单

近日,著名J2EE框架Struts2中存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高危风险。


 

该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本为:Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10

 

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi,debug等功能)以及启用任何插件,因此漏洞危害极为严重。


升级方案:

  • 升级到Struts2.3.32 或者Struts 2.5.10.1版本。官方升级地址:

  • https://dist.apache.org/repos/dist/release/struts/2.5.10.1/

  • https://dist.apache.org/repos/dist/release/struts/2.3.32/

------------------------------------------------------------------------------------------------

需要更换的包清单如下:


freemarker-2.3.16.jar

ognl-3.0.6.jar

slf4j-API-1.6.1.jar

struts2-config-browser-plugin-2.3.16.jar

struts2-convention-plugin-2.3.16.jar

struts2-core-2.3.16.jar

struts2-json-plugin-2.3.16.jar

struts2-spring-plugin-2.3.16.jar

xwork-core-2.3.16.jar


还没有人评论?赶快抢个沙发~

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。