java - 如何修复struts漏洞

Question

我正在开发一个旧版应用程序，最近我了解到 struts 1 和 struts 2 版本中存在漏洞，并通过 Google 找到了以下链接。

https://www.cvedetails.com/cve/CVE-2016-1182/

https://www.cvedetails.com/vulnerability-list.php?vendor_id=45&product_id=6117&version_id=164427&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=0&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=3&sha=879cec76600e380d5c5eb51b0257e838f4dac6cf

我很困惑如何修复这些漏洞。任何人都可以指导我吗？

Answer 1

Apache Struts 1 于 2008 年 12 月停产。那时任何官方支持都已停止。

我列出了在研究同一件事时发现的 3 个选项:

• 正如其他人在此线程中所说，最安全的选择是升级到 Struts 2。尽管名称相同，但它们在架构上是完全不同的框架。我最近为我正在从事的一个项目研究了这个选项，我必须警告说，如果您正在处理大型代码库，这可能是一项艰巨的任务。
• The Struts 1 - Struts 2 plugin - 该插件用于将 Struts 1 Actions 和 ActionForms 包装到 Struts 2 Action 类中。您可以使用它来添加一些新版本的验证功能。您需要研究这是否被积极接受和维护，自从我研究它以来已经有一段时间了。
• 为您的旧应用程序创建自定义安全补丁。