struts2升级至2.5.30
1、背景
根据国家网络与信息安全信息通报中心通报,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805)。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。
非现场审计系统需要根据要求升级至最新版本,以修复上述漏洞。
该项目是普通的web项目
2、依赖包下载
struts2.5.30下载地址:http://archive.apache.org/dist/struts/2.5.30/
log4j2.12.1下载地址:http://archive.apache.org/dist/logging/log4j/2.12.4/
下载apache-log4j-2.12.1-bin.zip,主要是需要里面的log4j-core-2.12.4.jar,struts2.5.30使用log4j2作为日志,所以还需要使用该jar包。
需要替换jar如下:
将原本的xwork-core包删除,2.5及以上版本该包已经包含在struts2-core中。
3、修改struts2.xml文件
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
4、修改web.xml文件
由
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
改为
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
去除类路径中的.ng路径。
5、增加log4j2.xml配置文件
<?xml version="1.0" encoding="UTF-8"?>
<!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->
<!--Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出-->
<!--monitorInterval:Log4j能够自动检测修改配置 文件和重新配置本身,设置间隔秒数-->
<configuration status="WARN" monitorInterval="30">
<!--先定义所有的appender-->
<appenders>
<!--这个输出控制台的配置-->
<console name="Console" target="SYSTEM_OUT">
<!--输出日志的格式-->
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
</console>
<!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用-->
<File name="log" fileName="log/test.log" append="false">
<PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
</File>
<!-- 这个会打印出所有的info及以下级别的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档-->
<RollingFile name="RollingFileInfo" fileName="${sys:user.home}/logs/info.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">
<!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch)-->
<ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
<RollingFile name="RollingFileWarn" fileName="${sys:user.home}/logs/warn.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="warn" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
<!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->
<DefaultRolloverStrategy max="7"/>
</RollingFile>
<RollingFile name="RollingFileError" fileName="${sys:user.home}/logs/error.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/error-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
</appenders>
<!--然后定义logger,只有定义了logger并引入的appender,appender才会生效-->
<loggers>
<!--过滤掉spring和mybatis的一些无用的DEBUG信息-->
<logger name="org.springframework" level="INFO"></logger>
<logger name="org.mybatis" level="INFO"></logger>
<root level="all">
<!-- <appender-ref ref="Console"/>-->
<appender-ref ref="RollingFileInfo"/>
<appender-ref ref="RollingFileWarn"/>
<appender-ref ref="RollingFileError"/>
</root>
</loggers>
</configuration>
6、方法访问不到的问题(404)
需要在每个action配置文件中加上 strict-method-invocation=“false”
再加上
<global-allowed-methods>regex:.*</global-allowed-methods>
<package name="projectstruts" extends="struts-default" strict-method-invocation="false">
<global-allowed-methods>regex:.*</global-allowed-methods>
</package>
7、新版用法(HttpParameters)
Map<String, Object> params = ServletActionContext.getContext().getParameters();
新版本的是:
HttpParameters params = ServletActionContext.getContext().getParameters();
在新版本如果想将HttpParameters转为Map 可以调用 toMap();方法,如下:
Map<String, String[]> stringMap = params.toMap();
或者遍历存入map ,如下:(提倡)
HttpParameters fileMaps = ServletActionContext.getContext().getParameters();
Map<String, Object> fileMap = new HashMap<>();
fileMaps.keySet().stream().forEach(new Consumer<String>() {
@Override
public void accept(String s) {
fileMap.put(s, fileMap.get(s));
}
});
File[] files = (File[]) fileMap.get(key);
8、修改文件 struts-tags.tld
用解压缩软件打开文件struts2-core-2.5.30.jar,在META-INF目录下找到文件
将文件覆盖掉项目下WEB-INF目录里的原文件或者相同名称的文件。
9、修改JSP文件
9.1项目jsp中是这样用的
<%@taglib prefix="s" uri="/struts-tags"%>
9.2修改文件头,修改如下
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN" "http://struts.apache.org/dtds/struts-2.5.dtd">
9.3修改<s:property
将property标签里的escape关键字改成escapeHtml,例如
<s:property value="result" escape="false"/>改成 <s:property value="result" escapeHtml="false"/>
9.4修改<s:iterator
将iterator标签里的id关键字改成var,例如
<s:iterator value="#vo.su.sourcings" id="sourcing">改成<s:iterator value="#vo.su.sourcings" var="sourcing">
9.5修改<s:subset
将subset标签里的id关键字改成var,例如
<s:subset source="#request.noticeList" start="0" count="6" id="report">改成<s:subset source="#request.noticeList" start="0" count="6" var="report">
注:9.1与9.2没有修改,如果不行可以试试以上方法