根据link struts 2容易受到攻击,建议Struts 2.3的用户升级到2.3.35; Struts 2.5的用户需要升级才能升级到2.5.17。
我正在使用struts 2.3版本和最新版本,仅包含针对该漏洞的修复程序,不能保证向后兼容。
请建议我还可以采用其他替代方法吗?
答案 0 :(得分:0)
执行以下一项或多项操作(1和3是互斥体) 1-全面升级和回归测试 2-实施安全管理器策略以阻止FilePermission执行 3-如果您在升级所有Struts时遇到问题,请尝试仅升级ognl jar。这些问题发生后,Struts团队通常会加强OGNL沙箱。
这句话说1和2都是您最好的选择。使您的安全管理器策略尽可能严格。