如何修复struts漏洞

问题描述投票：0回答：2

我正在研究遗留应用程序，最近我发现struts 1和struts 2版本中存在漏洞，并通过Google找到以下链接。

https://www.cvedetails.com/cve/CVE-2016-1182/

https://www.cvedetails.com/vulnerability-list.php?vendor_id=45&product_id=6117&version_id=164427&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=3&sha=879cec76600e380d5c5eb51b0257e838f4dac6cf

在这里，我很困惑如何修复这些漏洞。任何人都可以指导我。

java security struts struts-1 struts1

2个回答

1
投票

最好的办法是升级到最新版本。 Struts 1是End of Life，不会收到任何更新来修复任何仍然存在的问题。

最新版本的Struts 2目前似乎没有任何已发布的CVE，因此我建议您尽快升级。迁移到Struts2并不是一项简单的任务，但存在巨大的差异，但缺乏自行修复Struts1中的漏洞，你可以做的事情很少。

0
投票

Apache Struts 1在2008年12月达到了它的EOL。当时任何官方支持都已停止。

我在研究同样的事情时列出了我发现的3个选项：

正如其他人在这个帖子中所说，最安全的选择是升级到Struts 2.尽管共享相同的名称，但它们在架构上是完全不同的框架。我最近为我正在研究的项目调查了这个选项，我必须警告，如果你正在开发一个大型代码库，它可能是一个巨大的任务。
The Struts 1 - Struts 2 plugin - 这个插件用于将Struts 1 Actions和ActionForms包装到Struts 2 Action类中。您可以使用它来添加一些较新版本的功能以进行验证。你需要研究这是否被积极接受和维护，自从我研究它已经有一段时间了。
为旧应用程序创建自定义安全修补程序。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.