struts2漏洞修复,网站没有用struts2也会报apache struts2 远程代码执行漏洞,要升级struts2版本,怎么办啊?
struts2漏洞修复,网站没有用struts2也会报apache struts2 远程代码执行漏洞,要升级struts2版本,怎么办啊?详细介绍
本文目录一览: 如何修补struts 2的安全漏洞
到官网下载最新的 jar包,目前已更新到2.3.20 。
删除原有的jar包jsonplugin-xx.jar、ognl-x.x.x.jar、struts2-core-x.x.x.x.jar、xwork-core-x.x.x.x.jar、javassist-x.x.x.jar,其中,如果以前采用过其他jsonplugin插件的话,此jar由struts2-json-plugin-2.3.20jar代替。
添加的jar包:
commons-lang3-3.2.jar
struts2-json-plugin-2.3.20.jar
ognl-3.0.6.jar
struts2-core-2.3.20.jar
xwork-core-2.3.20.jar
javassist-3.11.0.GA.jar
如果原使用的版本为type="redirect-action",替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction"。
如果你的工程原来采用的是其他的json类型处理插件的话,修改struts.xml中返回类型为json的处理类相关的配置:
修改为:
修改相关出错的源代码,如果你的工程原来采用的是其他的json类型处理插件的话,所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。
7
struts2标签库的升级:将原有的struts-tag.tld升级为最新。
没有用struts2也会报apache struts2 远程代码执行漏洞这个漏洞,怎么处理
漏洞产生原因主要在于,Struts2 的标签库使用 OGNL 表达式来访问 ActionContext 中的对象数据,为了能够访问到 ActionContext 中的变量,Struts2 将 ActionContext 设置为 OGNL 的上下文,并将 OGNL 的跟对象加入 ActionContext 中。
看看你的架包中是否有带struts2的
Apache Struts2作为世界上最流行的Java Web服务器框架之一,3月7日带来了本年度第一个高危漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
可以在腾讯智慧安全页面申请使用腾讯御点
然后使用这个软件上面的修复漏洞功能
直接对电脑的漏洞进行检测和修复就可以了
网站没有用struts2也会报apache struts2 远程代码执行漏洞,要升级struts2版本,怎么办啊?
建议修复,试试腾讯电脑管家,全面修复微软系统漏洞和第三方软件漏洞。
查毒杀毒修复漏洞合一,清除顽固病毒木马。一键优化系统高级服务设置,
提升系统稳定性和响应速度,加速开关机。
可以在腾讯智慧安全页面申请使用腾讯御点
然后使用这个软件上面的修复漏洞功能
直接对电脑的漏洞进行检测和修复就可以了
struts2 漏洞 怎么防范
可以用腾讯电脑管家,修复漏洞,强大智能的漏洞修复工具,
通过电脑管家提供的修复和优化操作,能够消除风险和优化计算机的性能。
电脑管家建议您每周体检一次,这样可以大大降低被木马入侵的风险。
修补方案:
升级到Struts 2.3.32或Struts 2.5.10.1
Struts 2.3.32下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
apache漏洞struts2是客户端漏洞还是什么
是服务器的漏洞
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。
可以在腾讯智慧安全页面申请使用腾讯御点
然后使用这个软件上面的修复漏洞功能
直接对电脑的漏洞进行检测和修复就可以了
如何查看apache是否存在struts2 漏洞
建议开启防火墙,然后修复漏洞
试试腾讯电脑管家,杀毒+管理2合1,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞 电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用
struts2存在命令执行漏洞,上传webshell文件等什么意思
可以在腾讯智慧安全页面申请使用腾讯御点
然后使用这个软件上面的修复漏洞功能
直接对电脑的漏洞进行检测和修复就可以了
就是控制网站 传一个脚本木马上去 (可以是一句话,用中国菜刀控制你的网站 或者直接传jsp大马控制)。最起码有相当于你网站的ftp权限。Windows的服务器一般jsp的脚本权限都是系统权限,linux也权限很高。
如何看待Struts2远程代码执行漏洞的危害
建议腾讯电脑管家修复,系统漏洞经常被黑客利用传播恶意程序(如网页挂马),必须及时修复系统漏洞才能有效防止计算机在上网时被黑客入侵,不过如果安装了安全软件,并且漏洞介绍看起来不是那么严重的话,可以选择不修复。
Windows系统漏洞是指操作系统在开发过程中存在的技术缺陷,这些缺陷可能导致其他用户在未被授权的情况下非法访问或攻击计算机系统。因此,系统开发商一般每月都会发布最新的补丁用以修复新发现的漏洞。目前,腾讯电脑管家支持修复Windows操作系统漏洞和部分第三方软件漏洞。
我们知道这个漏洞是Struts2默认解析上传文件的Content-Type头的过程中出现的问题。struts2如果解析这个头出错,就会执行错误信息中的OGNL代码。该漏洞危害非常大,而且利用成功率高甚至不需要找上传点,自己构造上传包就可以利用,进行远程命令执行。权限自然也基本上属于服务权限,因为你的命令代码是web服务器帮你执行的,它有啥权限,你也就有啥权限。
如何检测struts代码执行漏洞
漏洞描述:
CVE-2013-225. Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物
Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令
redirect:和redirectAction:此两项前缀为Struts默认开启功能,目前Struts 2.3.15.1以下版本均存在此漏洞
目前Apache Struts2已经在2.3.15.1中修补了这一漏洞。强烈建议Apache Struts2用户检查您是否受此问题影响,并尽快升级到最新版本
< 参考
1. http://struts.apache.org/release/2.3.x/docs/s2-016.html
>
测试方法:
@Sebug.net dis 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
由于Apache Struts2 在最新修补版本2.3.15.1中已经禁用了重定向参数,因此只要重定向功能仍然有效,则说明受此漏洞影响:
http://host/struts2-showcase/employee/save.action?redirect:http://www.yahoo.com/
如果页面重定向到www.yahoo.com,则表明当前系统受此漏洞影响。
验证表达式解析和命令执行:
http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}`
Sebug安全建议:
厂商状态:
厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。
厂商安全公告:S2-01. 链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html
软件升级页面:http://struts.apache.org/download.cgi#struts23151
目前存在漏洞的公司
乌云上,已经发布了快60个struts的这个漏洞问题,包括腾讯,百度,网易,京东等国内各大互联网公司。(http://www.wooyun.org/bugs/new_submit/)
解决办法:
升级到Struts 2.3.15.1(强烈建议)
使用ServletFilter来过滤有问题的参数(临时替换方案)
参考资料:
这次struts爆出来的漏洞,一大片的网站受的影响,影响最严重的就是电商了.对于struts的漏洞,曾经也写过struts2代码执行漏洞,struts2自从使用OGNL表达式的方式后,经常就会报出一些可怕的漏洞出来,建议那些还是struts的童鞋们,学习一些其他的框架吧!比如,spring mvc,简单,好用,高效!