Security Apache Struts 2远程代码执行（RCE）缺陷_Security_Struts2_Ognl_Hacker News

Security Apache Struts 2远程代码执行（RCE）缺陷

security struts2

Security Apache Struts 2远程代码执行（RCE）缺陷,security,struts2,ognl,hacker-news,Security,Struts2,Ognl,Hacker News,按照 struts 2易受攻击，建议struts 2.3的用户升级到2.3.35；Struts 2.5的用户需要升级到2.5.17 我使用的是struts 2.3版本&最新版本只包含该漏洞的修复，不能保证向后兼容性请建议我应该遵循的其他选项？执行以下一项或多项操作（1和3为互斥） 1-完全升级和回归测试 2-实施安全管理器策略以阻止文件权限执行 3-如果您在升级所有Struts时遇到问题，请尝试升级ognl jar。Struts团队通常会在这些问题之后加强OGNL沙箱也就是说，1和2都是你最

按照 struts 2易受攻击，建议struts 2.3的用户升级到2.3.35；Struts 2.5的用户需要升级到2.5.17

我使用的是struts 2.3版本&最新版本只包含该漏洞的修复，不能保证向后兼容性

请建议我应该遵循的其他选项？

执行以下一项或多项操作（1和3为互斥） 1-完全升级和回归测试 2-实施安全管理器策略以阻止文件权限执行 3-如果您在升级所有Struts时遇到问题，请尝试升级ognl jar。Struts团队通常会在这些问题之后加强OGNL沙箱

也就是说，1和2都是你最好的赌注。使您的security manager策略尽可能严格。

是否自行应用修复程序？不要总是设置

选择完整命名空间

？你所说的“向后兼容性不能保证”是什么意思？如果您在2.3分支上，那么升级到最新的2.3版本不会暴露任何问题，但是与任何更改一样，您应该通过正常的测试套件运行它。在您链接到它的文章中明确指出，升级到2.3.35只是此漏洞的修复程序。2.3.35（）的发行说明确认此版本仅修复了这些问题。如果您使用的是2.3分支，那么升级到2.3.35应该没有问题