Struts 2漏洞沒補好，Apache軟體基金會緊急重新釋出更新

Apache軟體基金會（Apache Software Foundation，ASF）周末釋出Struts 2.3.16.2，以用來修補今年3月的Struts 2.3.16.1更新未能完全修補的零時差漏洞，並警告開發人員盡快更新。

今年3月2日釋出的Struts 2.3.16.1主要修補了兩個安全問題，一是透過請求參數的ClassLoader操作，二是升級Commons FileUpload函式庫以預防阻斷式服務攻擊。

不過，ASF上周四（4/24）透過郵件論壇宣布，原本以為在Struts 2.3.16.1中解決的ClassLoader操作問題並沒有被解決，將在72小時內進行修補。而新的Struts 2.3.16.2已經於周末出爐。ASF強烈建議所有的開發人員進行版本更新。

於2007年2月推出正式版的Apache Struts 2為Java EE網頁應用的開放源碼框架，包括中國的百度、阿里巴巴，與騰訊等大型網站都採用該框架。去年曾發現一潛伏6年的重大漏洞，允許駭客遠端控制Apache Struts 2伺服器並植入惡意程式。（編譯/陳曉莉）