Apache

前言

这两天突然被Apache Struts 2的新版发布勾起了尘封6年的回忆——2013年7月发布了2.3.15.1发布版，但在修复事项中公开了一段远程执行漏洞的示例代码，被黑客圈内利用，导致了中国大陆大量使用Struts2的网站被入侵。
但是，Apache官方又发布了Struts 2.5.22 GA 版，我们一起来看看吧！

官方宣言

Apache Struts 2.5.22 GA 已发布，官方称 Apache Struts 2 是一个优雅、可扩展的框架，可用于创建企业级 Java Web 应用程序。Struts 2 旨在简化从构建到部署，再到维护应用程序整个开发周期。

特别注意：

Struts 2 增加了新的安全性增强功能，默认情况下它们是禁用的，但如果需要提升应用程序的安全性请考虑启用它们。Apache Struts 2.5.x 系列最低要求版本如下：Servlet API 2.4, JSP API 2.0 和 Java 7。

Apache Struts 2.5.22 GA

2.5.22 GA版更新内容修复在某些客户端中出现文件上传失败的错误listValueKey 中不存在的属性抛出异常即使启用 logMissingProperties 也无法获取 OgnlValueStack 日志Struts 2.8.20 中不再提供对静态变量的调用访问静态成员时 ProxyUtil 类中会出现 NullPointerException由于并发，JSON 插件会出现 EmptyStackException修复当解析 file:// URL 时将＃作为网址的一部分的 Tiles bug通过 OGNL 访问静态变量不返回任何内容HttpParameters.Builder 可以将对象封装在两层参数中提交表单后会绑定整数数组自 2.5.16 开始，提交两次 TokenSessionStoreInterceptor 会出现中断xerces 尝试从互联网加载资源Dispatcher 将堆栈跟踪（stacktraces）直接打印到控制台OGNL：出现非法的反射访问操作Struts2 的 convention plugin 缺少对 Java 11 的支持升级 SLF4J 至最新的 1.7.x 版本对 AbstractLocalizedTextProvider 的次要增强/修复提供清除 OgnlUtil 缓存的机制Struts 2 单元测试会使用 StrutTestCase 类升级 Jackson 库至最新版本升级 OGNL 至 3.1.22将一些 Struts 2.5.x 库更新为最新版本升级 commons-beanutils 至 1.9.4升级 Jackson-Databind 至 2.9.9.3升级 OGNL 至 3.1.26 并采用其新功能漏洞简介

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi ，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

精彩网评