Struts2漏洞修复到2.3.15.1版本步骤
2017-01-11 00:00
369 查看
http://blog.csdn.net/spyjava/article/details/13766335
替换class方式:
http://blog.csdn.net/mydwr/article/details/18727627
替换class包下载地址:https://pan.baidu.com/s/1bqxMX2Z
其他方式:http://blog.csdn.net/xlxxcc/article/details/52244965
近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息,让我们这些从事javaweb软件开发,并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作...
我们的很多项目都是基于Struts2的,这也让我们必须对此做出及时正确的响应。及时升级Struts2是最快最能解决根本问题的方式。困难在于各个项目的Struts2原有版本都不尽相同。
本文记录Struts2-2.3.4升级到2.3.15.1并且最少化改动已有工程代码的情况下的步骤
1.删除的jar包
jsonplugin-0.30.jar(此jar由struts2-json-plugin-2.3.15.1.jar代替,如果以前采用过其他jsonplugin插件的话)
2.添加的jar包
commons-lang3-3.1.jar
struts2-json-plugin-2.3.15.1.jar
3.替换的jar包
将原有低版本的ognl-x.x.x.jar替换为ognl-3.0.6.jar
将原有低版本的struts2-core-x.x.x.x.jar替换为struts2-core-2.3.15.1.jar
将原有低版本的xwork-core-x.x.x.x.jar替换为xwork-core-2.3.15.1.jar
将原有低版本的javassist-x.x.x.jar替换为javassist-3.11.0.GA.jar
4.xwork-conversion.properties
注释掉Java.lang.Enum=com.opensymphony.xwork2.util.EnumTypeConverter
5.替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction",并将xml的头部信息修改为:
[html] view plain copy
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
6.修改struts.xml中返回类型为json的处理类相关的配置。(如果你的工程原来采用的是其他的json类型处理插件的话)
将其中片段修改成如下状态:
[html] view plain copy
<result-types>
<!-- 添加的自定义类型JSON对象 -->
<!--
<result-type name="json" class="com.googlecode.jsonplugin.JSONResult" />
-->
<result-type name="json" class="org.apache.struts2.json.JSONResult" />
</result-types>
7.所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。(如果你的工程原来采用的是其他的json类型处理插件的话)
8.struts2标签库的升级
将原有的struts-tag.tld升级为最新。
替换class方式:
http://blog.csdn.net/mydwr/article/details/18727627
替换class包下载地址:https://pan.baidu.com/s/1bqxMX2Z
其他方式:http://blog.csdn.net/xlxxcc/article/details/52244965
近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息,让我们这些从事javaweb软件开发,并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作...
我们的很多项目都是基于Struts2的,这也让我们必须对此做出及时正确的响应。及时升级Struts2是最快最能解决根本问题的方式。困难在于各个项目的Struts2原有版本都不尽相同。
本文记录Struts2-2.3.4升级到2.3.15.1并且最少化改动已有工程代码的情况下的步骤
1.删除的jar包
jsonplugin-0.30.jar(此jar由struts2-json-plugin-2.3.15.1.jar代替,如果以前采用过其他jsonplugin插件的话)
2.添加的jar包
commons-lang3-3.1.jar
struts2-json-plugin-2.3.15.1.jar
3.替换的jar包
将原有低版本的ognl-x.x.x.jar替换为ognl-3.0.6.jar
将原有低版本的struts2-core-x.x.x.x.jar替换为struts2-core-2.3.15.1.jar
将原有低版本的xwork-core-x.x.x.x.jar替换为xwork-core-2.3.15.1.jar
将原有低版本的javassist-x.x.x.jar替换为javassist-3.11.0.GA.jar
4.xwork-conversion.properties
注释掉Java.lang.Enum=com.opensymphony.xwork2.util.EnumTypeConverter
5.替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction",并将xml的头部信息修改为:
[html] view plain copy
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
6.修改struts.xml中返回类型为json的处理类相关的配置。(如果你的工程原来采用的是其他的json类型处理插件的话)
将其中片段修改成如下状态:
[html] view plain copy
<result-types>
<!-- 添加的自定义类型JSON对象 -->
<!--
<result-type name="json" class="com.googlecode.jsonplugin.JSONResult" />
-->
<result-type name="json" class="org.apache.struts2.json.JSONResult" />
</result-types>
7.所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。(如果你的工程原来采用的是其他的json类型处理插件的话)
8.struts2标签库的升级
将原有的struts-tag.tld升级为最新。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Struts2漏洞修复到2.3.15.1版本步骤
- Struts2漏洞修复到2.3.15.1版本步骤
- Struts2漏洞修复到2.3.15.1版本步骤
- Struts2漏洞拉响网站安全红色警报以及把Struts2更新为最新版本Struts2.3.15.1步骤
- Struts2漏洞拉响网站安全红色警报以及把Struts2更新为最新版本Struts2.3.15.1步骤
- struts2升级到Struts 2.3.15.1的步骤(最新安全版本)
- struts2漏洞说明,以及升级到2.3.15.1详细步骤
- [JIRA] 最新Linux安装版本jira6.3.6安装破解以及数据导入的详细步骤
- 基于MT6752/32平台 Android L版本驱动移植步骤
- ssh项目中strust2从2.0.11升级到2.3.15.1详细步骤
- Windows XP网络修复的步骤
- [备忘录] Windows版本Oracle中添加操作系统认证用户的步骤
- 8220V2.X版本开局步骤
- 安卓调用系统相机拍照的几个步骤,同时解决版本兼容问题
- GTK+ 3.6.2 发布,小的 bug 修复版本
- Crontab 不会自动执行 修复、处理步骤
- Windows Linux双系统安装时,误删GRUB的修复步骤
- 从手机中读取音乐信息相关详细步骤(手机版本在6.0以下)
- xcode6以后版本新建.pch自动编译文件的步骤
- 在ubuntu linux下安装eclipse以及运行c++程序的安装步骤17832人阅读 本文档免费下载 本人linux版本是ubuntu 9.10 , 下载的eclipse版本 和 c++ 插件