Struts漏洞修补过程之S2-016。邪恶的Struts再次现身,这一次是远程执行漏洞。官方建议立即升级到2.3.15.1。真希望这是最后一次漏洞修补。下面是升级步骤。
1.升级到struts2.3.15.1,
需要导入的包
asm-3.3.jar
asm-commons-3.3.jar
asm-tree-3.3.jar
commons-fileupload-1.2.2.jar
commons-io-2.0.1.jar
commons-lang3-3.1.jar
freemarker-2.3.19.jar
javaassist-3.11.0.GA.jar
ognl-3.0.6.jar
struts2-core-2.3.15.1.jar
xwork-core-2.3.15.1.jar
可以从这里下载2.3.15.1的struts,这里
2.修改web.xml,解决启动后的报错问题,
为避免tomcat启动后,频繁提示“FilterDispatcher is now deprecated” 的错误信息,
需要修改web.xml文件。
去除对org.apache.struts2.dispatcher.FilterDispatcher的引用,改为下面的样子:
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
3.自己建立xwork-2.0.dtd文件,解决运行时错误。
如果运行时,还发生如下错误的话,
... 35 more
Caused by: java.io.FileNotFoundException:
at sun.net.(HttpURLConnection.java:1303)
就需要,建立自己的xwork-2.0.dtd文件。原因是 这个路径不存在了。
一个解决办法是,在服务器上配置一个HTTP服务器,例如IIS或者Apache,然后建立xwork目录和xwork-2.0.dtd文件,然后,修改本机的hosts文件,加入一条DNS记录,把指向本机IP。
做完这几步,就OK了。可以试试服务是否能够正常运行了。
参考:
1.
2.