Apache Struts 2.3.34 发布,修复安全问题

局长
 局长
发布于 2017年09月08日
收藏 4

Apache Struts 2.3.34 已发布,该版本修复了以下潜在的安全漏洞:

  • S2-050 当使用 URLValidator 时,可能会导致 DoS 攻击 (与 S2-044 & S2-047 类似)

  • S2-051 远程攻击者可能会在使用 Struts REST 插件时发送精心设计的 xml 请求来创建DoS攻击

  • S2-052 当使用带有 XStream 处理程序的 Struts REST 插件来处理 XML 有效负载时,可能会发生远程执行代码攻击

  • S2-053 在 Freemarker tag 中使用无意图的表达式而不是字符串文字时,可能会发生远程执行代码攻击

以及几个小的改进:

  • Struts2 JSON 插件:以带有字符串的 Map 作为 Key 发送到 JSON Action 被忽略,Numeric Keys 可工作和映射

  • 由于 OgnlRuntime Dependency 中的不必要的同步,线程被阻塞

  • 升级至 OGNL 3.0.21

  • 升级至 struts-master 11

  • 改进用于验证 URL 的 RegEx

详细发布说明点此参阅

下载地址

Struts 是 Apache软件基金会(ASF)赞助的一个开源项目。它最初是 Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用 Java Servlet/JSP 技术,实现了基于Java EE Web应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Apache Struts 2.3.34 发布,修复安全问题
加载中

精彩评论

开源中国首席一失足成千古风流人物以稀为贵
开源中国首席一失足成千古风流人物以稀为贵
这货让我们公司的 安全部门又一次通宵.....

放弃这货吧...
开源中国首席罗纳尔多
开源中国首席罗纳尔多
我就不信spring系列和springmvc就没有漏洞?
啊丢丢
啊丢丢
一身的漏洞
小白小霸王
小白小霸王
精通IE6 CSS编程
xusheng1987
xusheng1987
"这货还活着"系列

最新评论(19

slliver
slliver
上次用这个大约在一年前了 每次一听到这货有漏洞 就很失望
佳佳无双
佳佳无双
升级后导致ongl失效 要改源码了吗
山雨欲来
山雨欲来

引用来自“山雨欲来”的评论

有什么好修复的,都进黑名单了

引用来自“浅色调XD”的评论

历史遗留项目肯定需要啊,不然你还打算重构?
回复@浅色调XD : 让我接我就辞职啊,垃圾玩意儿
浅色调XD
浅色调XD

引用来自“山雨欲来”的评论

有什么好修复的,都进黑名单了
历史遗留项目肯定需要啊,不然你还打算重构?
啊丢丢
啊丢丢
一身的漏洞
TerryZ
TerryZ
尽早扔了
堪培拉的风
堪培拉的风
我是来看评论的。
开源中国首席罗纳尔多
开源中国首席罗纳尔多

引用来自“漆黑的烈焰使”的评论

我就不信spring系列和springmvc就没有漏洞?

引用来自“wj2014”的评论

自己写的servlet绝对没有漏洞
回复@wj2014 : servlet为什么没有漏洞呢?
cuibty
cuibty
放弃治疗系列
w
wj2014

引用来自“漆黑的烈焰使”的评论

我就不信spring系列和springmvc就没有漏洞?
自己写的servlet绝对没有漏洞
返回顶部
顶部