Java开发网 |
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
您没有登录 |
» Java开发网 » Architecture & Framework
打印话题 寄给朋友 订阅主题 |
作者 | Struts2再爆高危漏洞,解决方案一览 |
阿熊
阿熊 元老 发贴: 5644 积分: 454 |
于 2017-03-29 16:39
Apache Struts2作为世界上最流行的Java Web服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。 1.官方解决方案 官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32或Struts 2.5.10.1),建议在升级前做好数据备份。 Struts 2.3.32 下载地址:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32 Struts 2.5.10.1下载地址: https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1 必须替换、添加的: struts2-core-2.3.32.jar struts2-json-plugin-2.3.32.jar xwork-core-2.3.32.jar 添加commons-lang3-3.2.jar 保留commons-lang-2.4.jar 添加j a v a s s i s t-3.11.0.GA.jar 可能需要替换的包有: commons-fileupload-1.3.2.jar commons-io-2.2.jar ognl-3.0.19.jar freemarker-2.3.22.jar 2. 临时修复方案 在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险: 在WEB-INF/classes目录下的struts.xml 中的struts 标签下添加 <constant name="struts.custom.i18n.resources" value="global" /> 在WEB-INF/classes/ 目录下添加 global.properties,文件内容如下: struts.messages.upload.error.InvalidContentTypeException=1 配置过滤器过滤Content-Type的内容,在web应用的web.xml中配置过滤器,在过滤器中对Content-Type内容的合法性进行检测
阿熊 edited on 2017-03-29 16:50
|
已读帖子 新的帖子 被删除的帖子 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |