security - Apache Struts 2 远程代码执行(RCE)缺陷
问题描述
根据链接 struts 2 存在漏洞,建议 Struts 2.3 用户升级到 2.3.35;Struts 2.5 的用户需要升级才能升级到 2.5.17。
我使用的是 struts 2.3 版本,最新版本仅包含漏洞修复,不保证向后兼容性。
请建议我应该遵循什么其他选择?
解决方案
执行以下一项或多项操作(1 和 3 是互斥体) 1- 完全升级和回归测试 2- 实施安全管理器策略以阻止 FilePermission 执行 3- 如果您在升级所有 Struts 时遇到问题,请尝试升级 ognl jar。在这些问题之后,Struts 团队通常会加强 OGNL 沙箱。
话虽这么说,1 和 2 都是你最好的选择。使您的安全管理器策略尽可能严格。
推荐阅读
- selenium - 具有多个条件并获取元素值的 Selenium xpath
- ios - 如何以在 IB 中的方式将事件添加到 UIImageView 子类
- c# - 从 C# Windows 窗体调用 PHP Web 服务
- javascript - 如果未选中输入,则带有 Bootstrap Toggle 的复选框返回 null
- c# - 如何从文本框中获取日期时间并将其放入 SQL 语句
- docker - 无法运行 docker 镜像“quorra not found”
- javascript - angularjs过滤器只返回完全匹配的值
- spring-mvc - 映射器装饰器未编译
- angular - 当我尝试登录 Angular 6 时,不会调用路由身份验证保护
- apache-spark - Job 完成后,如何让每个 Spark Worker 只运行一次相同的功能?