记录一次Struts s2-045重大安全漏洞修复过程
2024-08-25 16:21:20
【升级修复】
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。
官方公告:https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
【临时处理方法】
方式1:修改struts2组件中的default.properties文件,将struts.multipart.parser的值由jakarta更改为pell。
方式2: 通过WAF等过滤方式对Content-Type中入侵的关键字:DEFAULT_MEMBER_ACCESS做过滤
解决方式如下
[root@cenos 0310]# ls
struts2-core-2.3.15.1.jar
[root@cenos 0310]# jar xf struts2-core-2.3.15.1.jar
[root@cenos 0310]# ls
FREEMARKER-LICENSE.txt META-INF OGNL-LICENSE.txt overview.html struts-2.1.7.dtd struts-2.3.dtd struts-default.xml template
LICENSE.txt NOTICE.txt org struts-2.0.dtd struts-2.1.dtd struts2-core-2.3.15.1.jar struts.vm XWORK-LICENSE.txt
[root@cenos 0310]# cd org/apache/struts2/
[root@cenos struts2]# ls default.properties
default.properties
[root@cenos struts2]# vim default.properties
[root@cenos struts2]# grep 'struts.multipart.parser' default.properties
# struts.multipart.parser=cos
# struts.multipart.parser=pell
struts.multipart.parser=pell
[root@cenos struts2]#
最新文章
- 在C#中,Json的序列化和反序列化的几种方式总结
- 【leetcode】Maximum Gap
- linux下清除Squid缓存的方法记录
- 也谈一下Activiti工作流节点的自由跳转
- [C入门 - 游戏编程系列] 贪吃蛇篇(六) - 蛇实现
- AsyncTask简单入门
- 一键下载你的youtube视频
- 2.7、Android Studio使用翻译编辑器本地化UI
- Django 配置(一)开启服务
- 对于 url encode decode js 和 c# 有差异
- eclipse中svn上传及更新
- Java类型中ParameterizedType,GenericArrayType,TypeVariabl,WildcardType详解
- Windows下GUI编程——窗口
- Go Revel - server.go 源码分析
- C++:友元
- 解决Cannot read property 'style' of null中样式问题
- python接口测试:自动保存cookies
- Tags Used In OpenERP 7.0
- hook_myhook.api.php文件什么用
- 2018.11.28 OGNL表达式与struts2框架结合的体现---在配置文件中体现(补充)