如何修复Struts漏洞

时间:2018-09-04 10:08:32

标签: java security struts struts-1 struts1

我正在使用旧版应用程序,最近我才知道struts 1和struts 2版本中存在漏洞,并通过Google找到了以下链接。

https://www.cvedetails.com/cve/CVE-2016-1182/

https://www.cvedetails.com/vulnerability-list.php?vendor_id=45&product_id=6117&version_id=164427&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=3&sha=879cec76600e380d5c5eb51b0257e838f4dac6cf

在这里,我很困惑如何纠正这些漏洞。有人可以指导我吗?

2 个答案:

答案 0 :(得分:1)

最好的办法是升级到最新版本。 Struts 1即将终止,不会收到任何更新来修复仍然存在的问题。

Struts 2的最新版本当前似乎没有任何已发布的CVE,因此,我建议您尽快升级。迁移到具有巨大差异的Struts2并不是一件容易的事,但是要自己修复Struts1中的漏洞,您几乎无能为力。

答案 1 :(得分:0)

Apache Struts 1于2008年12月达到EOL。那时,任何正式支持都停止了。

我列出了在研究同一事物时发现的3个选项:

    正如其他人在此线程中所说的那样,最安全的选择是升级到Struts2。尽管使用相同的名称,但它们在架构上是完全不同的框架。最近,我在我正在研究的项目中研究了此选项,并且必须警告,如果您正在处理大型代码库,那么这可能是一项艰巨的任务。
  • The Struts 1 - Struts 2 plugin-该插件用于将Struts 1 Action和ActionForms包装到Struts 2 Action类中。您可以使用它来添加一些较新版本的功能以进行验证。您需要研究它是否被积极接受和维护,因为我已经研究了一段时间。
  • 为旧版应用程序创建自定义安全补丁。
相关问题
最新问题