Apache Struts 2.3.34 发布,修复安全问题 - 开源中国社区
Apache Struts 2.3.34 发布,修复安全问题
局长 2017年09月08日

Apache Struts 2.3.34 发布,修复安全问题

局长 局长 发布于2017年09月08日 收藏 5

腾讯云 十分钟定制你的第一个小程序>>>  

Apache Struts 2.3.34 已发布,该版本修复了以下潜在的安全漏洞:

  • S2-050 当使用 URLValidator 时,可能会导致 DoS 攻击 (与 S2-044 & S2-047 类似)

  • S2-051 远程攻击者可能会在使用 Struts REST 插件时发送精心设计的 xml 请求来创建DoS攻击

  • S2-052 当使用带有 XStream 处理程序的 Struts REST 插件来处理 XML 有效负载时,可能会发生远程执行代码攻击

  • S2-053 在 Freemarker tag 中使用无意图的表达式而不是字符串文字时,可能会发生远程执行代码攻击

以及几个小的改进:

  • Struts2 JSON 插件:以带有字符串的 Map 作为 Key 发送到 JSON Action 被忽略,Numeric Keys 可工作和映射

  • 由于 OgnlRuntime Dependency 中的不必要的同步,线程被阻塞

  • 升级至 OGNL 3.0.21

  • 升级至 struts-master 11

  • 改进用于验证 URL 的 RegEx

详细发布说明点此参阅

下载地址

Struts 是 Apache软件基金会(ASF)赞助的一个开源项目。它最初是 Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用 Java Servlet/JSP 技术,实现了基于Java EE Web应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Apache Struts 2.3.34 发布,修复安全问题
分享
评论(19)
精彩评论
这货让我们公司的 安全部门又一次通宵.....

放弃这货吧...
3
我就不信spring系列和springmvc就没有漏洞?
1
一身的漏洞
1
精通IE6 CSS编程
1
"这货还活着"系列
最新评论
0
上次用这个大约在一年前了 每次一听到这货有漏洞 就很失望
0
升级后导致ongl失效 要改源码了吗
0

引用来自“山雨欲来”的评论

有什么好修复的,都进黑名单了

引用来自“浅色调XD”的评论

历史遗留项目肯定需要啊,不然你还打算重构?
回复@浅色调XD : 让我接我就辞职啊,垃圾玩意儿
0

引用来自“山雨欲来”的评论

有什么好修复的,都进黑名单了
历史遗留项目肯定需要啊,不然你还打算重构?
1
一身的漏洞
0
尽早扔了
0
我是来看评论的。
0

引用来自“漆黑的烈焰使”的评论

我就不信spring系列和springmvc就没有漏洞?

引用来自“wj2014”的评论

自己写的servlet绝对没有漏洞
回复@wj2014 : servlet为什么没有漏洞呢?
0
放弃治疗系列
0

引用来自“漆黑的烈焰使”的评论

我就不信spring系列和springmvc就没有漏洞?
自己写的servlet绝对没有漏洞
3
我就不信spring系列和springmvc就没有漏洞?
0
有什么好修复的,都进黑名单了
1
精通IE6 CSS编程
0
有没有修复验证工具?
0
跟昨天的2.5.x版本一样,是修复远程执行漏洞的
0
新项目还有用这货的吗???
1
"这货还活着"系列
这货让我们公司的 安全部门又一次通宵.....

放弃这货吧...
0
筛子
顶部