记录一次Struts s2-045重大安全漏洞修复过程

【升级修复】

受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2..5.10.1以消除漏洞影响。
官方公告：https://cwiki..apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
【临时处理方法】
方式1：修改struts2组件中的default.properties文件，将struts.multipart.parser的值由jakarta更改为pell。
方式2: 通过WAF等过滤方式对Content-Type中入侵的关键字：DEFAULT_MEMBER_ACCESS做过滤

解决方式如下

[root@cenos 0310]# ls
struts2-core-2.3.15.1.jar
[root@cenos 0310]# jar xf struts2-core-2.3.15.1.jar 
[root@cenos 0310]# ls
FREEMARKER-LICENSE.txt  META-INF    OGNL-LICENSE.txt  overview.html   struts-2.1.7.dtd  struts-2.3.dtd             struts-default.xml  template
LICENSE.txt             NOTICE.txt  org               struts-2.0.dtd  struts-2.1.dtd    struts2-core-2.3.15.1.jar  struts.vm           XWORK-LICENSE.txt
[root@cenos 0310]# cd org/apache/struts2/
[root@cenos struts2]# ls default.properties 
default.properties
[root@cenos struts2]# vim default.properties 
[root@cenos struts2]# grep 'struts.multipart.parser'  default.properties 
# struts.multipart.parser=cos
# struts.multipart.parser=pell
struts.multipart.parser=pell
[root@cenos struts2]#

posted on 2019-03-01 21:18 nmap 阅读(3377) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

nmap

记录一次Struts s2-045重大安全漏洞修复过程

导航

公告