周五发布的Apache Struts开发框架的新版本修复了让开发人员担心的两个问题。
Apache Struts是一种流行的开源框架,用于开发基于java的Web应用程序,由Apache软件基金会维护。新发布的Struts 2.3.15.2修复了软件开发人员认为重要的问题。
一种称为动态方法调用(DMI)的机制被认为是可能的安全漏洞的来源默认禁用在新的Struts版本中。
该功能在以前的版本中是启用的,但建议用户在可能的情况下关闭。这可以通过设置struts.enable来实现。xml中的DynamicMethodInvocation选项为false。
这一最新变化的结果是,维护严重依赖DMI的应用程序的开发人员如果升级到Struts 2.3.15.2版本,可能需要对其进行重构。
新版本还解决了动作映射机制的“action:”前缀的问题,该前缀可用于将导航信息附加到表单中的按钮上。
“在2.3.15.2之前的Struts 2中,在某些情况下,这可以用来绕过安全约束,”Struts开发人员在a安全咨询。
出于安全考虑,在大量用户升级到新版本之前,有意保留有关此问题的更多细节。
在过去,Struts默认的动作映射机制一直是一个重要的安全漏洞的来源。框架的2.3.15.2版本发布的7月添加了代码来清除“action:”前缀信息,并完全删除了对“redirect:”和“redirectAction:”前缀的支持。
Struts开发人员说,一个备选方案是,如果他们的应用程序不需要支持多个提交按钮,开发人员可以编写自己的动作映射实现,并完全停止使用“action:”前缀。
客户端Java攻击是今年的焦点,但是Java Web应用程序,包括那些用Struts创建的应用程序,也可以成为黑客的目标。
上个月,安全供应商趋势科技(Trend Micro)的研究人员警告说,攻击者来自中国是否使用自动化工具来利用已知的Struts漏洞进入托管使用该框架开发的应用程序的服务器。