Strut2 升级到 Struts 2.3.32 漏洞修复教程

Struts2 版本漏洞版本：

CVE-2017-5638
受影响jar包：

Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10

方案：

升级到 Struts 2.3.32 or Struts 2.5.10.1

具体步骤：

1、确认漏洞

自己项目是否使用其中漏洞受影响的jar包？

例如：我们使用struts2-core-2.3.16.jar

2、决定方案：

为了不影响太多，决定升级到Struts 2.3.32

3、下载Struts 2.3.32
相关联jar包

链接： http://download.csdn.net/detail/u010050174/9782713

（刚曝出漏洞的时候，找不到jar包，官网打不开，maven上也没有及更新、差点被急死，过几天发现很容易就下载到了）

4、替换jar包

web项目、lib包下替换成以下版本的jar包。

struts2-core-2.3.32.jar

struts2-json-plugin-2.3.32.jar 

xwork-core-2.3.32.jar

ognl-3.0.19.jar 

freemarker-2.3.22.jar

struts2-spring-plugin-2.3.32.jar

MyEclipse 删除原jar包的classpath、添加新jar包classpath。

5、本地项目验证

删除jboss下 data work temp 临时文件夹、重新部署，启动jboss、

检查项目是否可以正常运行、包括、登录、连接跳转、等等。进行一个 比较全的测试。

6、发布到测试服务器、交个测试组来测试。

停止jboss服务器、删除旧jar包（否则可能会版本冲突），添加新的jar包。jboss下
data work temp 临时文件夹。重新启动jboss.

升级完毕。

7、测试组测试无问题，发布到生产系统

8、测试组再次测试生产系统

（因为测试系统和生产系统有时候、功能并不是完全一样、上次就是因为测试系统没有问题，但测试生产发现，生产上有一个功能，测试上没有发布、好坑，结果那个功能有问题，只好当天加班去处理那个功能的问题）

无问题，通知客户系统升级完毕。