struts2有漏洞是众所周知的、一直忙于项目没有时间升级、今天得空升级一下。不得不说 struts2 网站打开是极慢的:http://struts.apache.org/ 里面有Struts 2.3.20版本的文档、演示项目以及JAR包。
6 O9 E5 Z6 m$ B' n3 ]* {$ a下载下来 替换几JAR就ok了。5 }2 ^( Q' l3 O1 _/ Q5 Y$ G/ c
2 A2 K6 n2 R7 J" v% ], h0 R: G, C, w版本改进:& L$ R* g W2 m I3 {: p% e- \
Ø 合并后的安全修补程序版本中,2.3.16.1、 2.3.16.2、 2.3.16.3 Ø 扩展现有的安全机制来阻止访问给定的 java包和类 Ø RedirectResult 参数集合 Ø 在默认情况下,使 ParametersInterceptor 支持中文哈希键 Ø themes.properties可以使用加载 ServletContext 允许放在 WEB-INF 下或在类路径中的模板文件夹 Ø 新标记 datetextfield Ø 只有缓存有效的 Ognl 表达式 Ø 自定义 TextProvider 可用于验证错误的模型驱动的行动 Ø datetimepicker 的标签固定 Ø PropertiesJudge 删除和属性已签入 SecurityMemberAccess Ø 在 IBM JVM 资源重新加载工作 Ø 默认加载设置已被删除从 default.properties Ø commons-fileupload.jar升级到版本 1.3.1 要修复潜在的安全漏洞 Ø 标记组合属性可以使用表达式 Ø 解决 FastByteArrayOutputStream 中的无限循环问题 Ø LocalizedTextUtil 支持很多的类加载器 Ø 介绍了条例草案的材料 pom Ø debug = browser|console 被迁移到 jQuery Ø struts_dojo.js 被固定的 Ø 新增接口 org/apache/struts2/views/TagLibray,并且标记为 @Depreacted
+ x% |5 T1 o2 FStruts.xml :
7 M! V2 |; G4 p8 N0 [Struts 2.3.20 配置文件新增加了参数为struts.excludedClasses,此参数为了严格验证排除一些不安全的对象类型。" H- N$ n I; C$ B, E5 j8 y4 w
value=" java.lang.Object, java.lang.Runtime, java.lang.System, java.lang.Class, java.lang.ClassLoader, java.lang.Shutdown, ognl.OgnlContext, ognl.MemberAccess, ognl.ClassResolver, ognl.TypeConverter, com.opensymphony.xwork2.ActionContext" />
3 v+ }7 \1 {) o) b# k
3 P! i D+ b3 e# y% P! L5 l* Qvalue="^java\.lang\..*,^ognl.*,^javax.*" />% R# T J/ o# v: D* [6 b
“java.lang.Classs”值过滤struts标签中静态方法调用
1 x$ a) C& L' A5 n- Q' F% V2 w需要替换的重要jar包:
7 J$ q7 q) \" y& @ognl-3.0.6.jar
9 J+ Z* Z+ M% L b0 Ostruts2-core-2.3.20.jar3 v' j" C1 _3 L5 b6 [- h
struts2-json-plugin-2.3.20.jar
1 i3 I3 \2 U1 G# e. P/ ?struts2-spring-plugin-2.3.20.jar
7 U0 b( V0 |4 P* e5 S0 cxwork-core-2.3.20.jar. `: E+ c4 v1 j. c# [
struts.xml文件:
0 f% w" C U! `) q! {* o修改注释为2.3版本
4 p7 `5 ~6 a2 E. v8 p- <!DOCTYPE struts PUBLIC1 s, M. j, I8 Q2 i: t Q; ?
- "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"" A& g R6 I# T- w; h) N
- "http://struts.apache.org/dtds/struts-2.3.dtd">
复制代码
Struts 2.3.20版本JAR.zip
(1.55 MB, 下载次数: 1)
" p# p8 J% K9 ~- [+ r3 V* Q. F: N! e* b, B
struts-2.3.20-all文档以及演示项目
$ H) U7 `' O! o5 i9 c$ B2 i9 s. P. R6 |$ @, d/ z0 n; W
|