如何修复struts漏洞

问题描述 投票:0回答:2

我正在研究遗留应用程序,最近我发现struts 1和struts 2版本中存在漏洞,并通过Google找到以下链接。

https://www.cvedetails.com/cve/CVE-2016-1182/

https://www.cvedetails.com/vulnerability-list.php?vendor_id=45&product_id=6117&version_id=164427&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=3&sha=879cec76600e380d5c5eb51b0257e838f4dac6cf

在这里,我很困惑如何修复这些漏洞。任何人都可以指导我。

java security struts struts-1 struts1
2个回答
1
投票

最好的办法是升级到最新版本。 Struts 1是End of Life,不会收到任何更新来修复任何仍然存在的问题。

最新版本的Struts 2目前似乎没有任何已发布的CVE,因此我建议您尽快升级。迁移到Struts2并不是一项简单的任务,但存在巨大的差异,但缺乏自行修复Struts1中的漏洞,你可以做的事情很少。

0
投票

Apache Struts 1在2008年12月达到了它的EOL。当时任何官方支持都已停止。

我在研究同样的事情时列出了我发现的3个选项:

  • 正如其他人在这个帖子中所说,最安全的选择是升级到Struts 2.尽管共享相同的名称,但它们在架构上是完全不同的框架。我最近为我正在研究的项目调查了这个选项,我必须警告,如果你正在开发一个大型代码库,它可能是一个巨大的任务。
  • The Struts 1 - Struts 2 plugin - 这个插件用于将Struts 1 Actions和ActionForms包装到Struts 2 Action类中。您可以使用它来添加一些较新版本的功能以进行验证。你需要研究这是否被积极接受和维护,自从我研究它已经有一段时间了。
  • 为旧应用程序创建自定义安全修补程序。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.