Apache

前言

这两天突然被Apache Struts 2的新版发布勾起了尘封6年的回忆——2013年7月发布了2.3.15.1发布版，但在修复事项中公开了一段远程执行漏洞的示例代码，被黑客圈内利用，导致了中国大陆大量使用Struts2的网站被入侵。
但是，Apache官方又发布了Struts 2.5.22 GA 版，我们一起来看看吧！

官方宣言

Apache Struts 2.5.22 GA 已发布，官方称 Apache Struts 2 是一个优雅、可扩展的框架，可用于创建企业级 Java Web 应用程序。Struts 2 旨在简化从构建到部署，再到维护应用程序整个开发周期。

特别注意：

• Struts 2 增加了新的安全性增强功能，默认情况下它们是禁用的，但如果需要提升应用程序的安全性请考虑启用它们。

• Apache Struts 2.5.x 系列最低要求版本如下：Servlet API 2.4, JSP API 2.0 和 Java 7。

Apache Struts 2.5.22 GA

2.5.22 GA版更新内容

• 修复在某些客户端中出现文件上传失败的错误

• listValueKey 中不存在的属性抛出异常

• 即使启用 logMissingProperties 也无法获取 OgnlValueStack 日志

• Struts 2.8.20 中不再提供对静态变量的调用

• 访问静态成员时 ProxyUtil 类中会出现 NullPointerException

• 由于并发，JSON 插件会出现 EmptyStackException

• 修复当解析 file:// URL 时将＃作为网址的一部分的 Tiles bug

• 通过 OGNL 访问静态变量不返回任何内容

• HttpParameters.Builder 可以将对象封装在两层参数中

• 提交表单后会绑定整数数组

• 自 2.5.16 开始，提交两次 TokenSessionStoreInterceptor 会出现中断

• xerces 尝试从互联网加载资源

• Dispatcher 将堆栈跟踪（stacktraces）直接打印到控制台

• OGNL：出现非法的反射访问操作

• Struts2 的 convention plugin 缺少对 Java 11 的支持

• 升级 SLF4J 至最新的 1.7.x 版本

• 对 AbstractLocalizedTextProvider 的次要增强/修复

• 提供清除 OgnlUtil 缓存的机制

• Struts 2 单元测试会使用 StrutTestCase 类

• 升级 Jackson 库至最新版本

• 升级 OGNL 至 3.1.22

• 将一些 Struts 2.5.x 库更新为最新版本

• 升级 commons-beanutils 至 1.9.4

• 升级 Jackson-Databind 至 2.9.9.3

• 升级 OGNL 至 3.1.26 并采用其新功能

漏洞简介

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi ，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

精彩网评

注意：本文归作者所有，未经作者允许，不得转载