struts2升級至2.5.30
1、背景
根據國家網路與資訊保安資訊通報中心通報,開源應用框架Apache Struts存在遠端程式碼執行漏洞(CVE-2021-31805)。受影響版本為Apache Struts 2.0.0~2.5.29。目前,該漏洞已在Apache Struts 2.5.30版本中修復。
非現場審計系統需要根據要求升級至最新版本,以修復上述漏洞。
該專案是普通的web專案
2、依賴包下載
struts2.5.30下載地址:http://archive.apache.org/dist/struts/2.5.30/
log4j2.12.1下載地址:http://archive.apache.org/dist/logging/log4j/2.12.4/
下載apache-log4j-2.12.1-bin.zip,主要是需要裡面的log4j-core-2.12.4.jar,struts2.5.30使用log4j2作為日誌,所以還需要使用該jar包。
需要替換jar如下:
將原本的xwork-core包刪除,2.5及以上版本該包已經包含在struts2-core中。
3、修改struts2.xml檔案
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
4、修改web.xml檔案
由
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
改為
<filter> <filter-name>struts2</filter-name> <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class> </filter>
去除類路徑中的.ng路徑。
5、增加log4j2.xml配置檔案
<?xml version="1.0" encoding="UTF-8"?>
<!--日誌級別以及優先順序排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->
<!--Configuration後面的status,這個用於設定log4j2自身內部的資訊輸出,可以不設定,當設定成trace時,你會看到log4j2內部各種詳細輸出-->
<!--monitorInterval:Log4j能夠自動檢測修改配置 檔案和重新配置本身,設定間隔秒數-->
<configuration status="WARN" monitorInterval="30">
<!--先定義所有的appender-->
<appenders>
<!--這個輸出控制檯的配置-->
<console name="Console" target="SYSTEM_OUT">
<!--輸出日誌的格式-->
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
</console>
<!--檔案會打印出所有資訊,這個log每次執行程式會自動清空,由append屬性決定,這個也挺有用的,適合臨時測試用-->
<File name="log" fileName="log/test.log" append="false">
<PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
</File>
<!-- 這個會打印出所有的info及以下級別的資訊,每次大小超過size,則這size大小的日誌會自動存入按年份-月份建立的資料夾下面並進行壓縮,作為存檔-->
<RollingFile name="RollingFileInfo" fileName="${sys:user.home}/logs/info.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">
<!--控制檯只輸出level及以上級別的資訊(onMatch),其他的直接拒絕(onMismatch)-->
<ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
<RollingFile name="RollingFileWarn" fileName="${sys:user.home}/logs/warn.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="warn" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
<!-- DefaultRolloverStrategy屬性如不設定,則預設為最多同一資料夾下7個檔案,這裡設定了20 -->
<DefaultRolloverStrategy max="7"/>
</RollingFile>
<RollingFile name="RollingFileError" fileName="${sys:user.home}/logs/error.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/error-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
</appenders>
<!--然後定義logger,只有定義了logger並引入的appender,appender才會生效-->
<loggers>
<!--過濾掉spring和mybatis的一些無用的DEBUG資訊-->
<logger name="org.springframework" level="INFO"></logger>
<logger name="org.mybatis" level="INFO"></logger>
<root level="all">
<!-- <appender-ref ref="Console"/>-->
<appender-ref ref="RollingFileInfo"/>
<appender-ref ref="RollingFileWarn"/>
<appender-ref ref="RollingFileError"/>
</root>
</loggers>
</configuration>
6、方法訪問不到的問題(404)
需要在每個action配置檔案中加上 strict-method-invocation=“false”
再加上
<global-allowed-methods>regex:.*</global-allowed-methods>
<package name="projectstruts" extends="struts-default" strict-method-invocation="false">
<global-allowed-methods>regex:.*</global-allowed-methods>
</package>
7、新版用法(HttpParameters)
Map<String, Object> params = ServletActionContext.getContext().getParameters();
新版本的是:
HttpParameters params = ServletActionContext.getContext().getParameters();
在新版本如果想將HttpParameters轉為Map 可以呼叫 toMap();方法,如下:
Map<String, String[]> stringMap = params.toMap();
或者遍歷存入map ,如下:(提倡)
HttpParameters fileMaps = ServletActionContext.getContext().getParameters();
Map<String, Object> fileMap = new HashMap<>();
fileMaps.keySet().stream().forEach(new Consumer<String>() {
@Override
public void accept(String s) {
fileMap.put(s, fileMap.get(s));
}
});
File[] files = (File[]) fileMap.get(key);
8、修改檔案 struts-tags.tld
用解壓縮軟體開啟檔案struts2-core-2.5.30.jar,在META-INF目錄下找到檔案
將檔案覆蓋掉專案下WEB-INF目錄裡的原檔案或者相同名稱的檔案。
9、修改JSP檔案
9.1專案jsp中是這樣用的
<%@taglib prefix="s" uri="/struts-tags"%>
9.2修改檔案頭,修改如下
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
9.3修改<s:property
將property標籤裡的escape關鍵字改成escapeHtml,例如
<s:property value="result" escape="false"/>改成 <s:property value="result" escapeHtml="false"/>
9.4修改<s:iterator
將iterator標籤裡的id關鍵字改成var,例如
<s:iterator value="#vo.su.sourcings" id="sourcing">改成<s:iterator value="#vo.su.sourcings" var="sourcing">
9.5修改<s:subset
將subset標籤裡的id關鍵字改成var,例如
<s:subset source="#request.noticeList" start="0" count="6" id="report">改成<s:subset source="#request.noticeList" start="0" count="6" var="report">
注:9.1與9.2沒有修改,如果不行可以試試以上方法