圖片來源: 

維基共享資源;作者:U.S. Air Force photo/Capt. Carrie Kessler

Apache軟體基金會(Apache Software Foundation,ASF)周末釋出Struts 2.3.16.2,以用來修補今年3月的Struts 2.3.16.1更新未能完全修補的零時差漏洞,並警告開發人員盡快更新。

今年3月2日釋出的Struts 2.3.16.1主要修補了兩個安全問題,一是透過請求參數的ClassLoader操作,二是升級Commons FileUpload函式庫以預防阻斷式服務攻擊。

不過,ASF上周四(4/24)透過郵件論壇宣布,原本以為在Struts 2.3.16.1中解決的ClassLoader操作問題並沒有被解決,將在72小時內進行修補。而新的Struts 2.3.16.2已經於周末出爐。ASF強烈建議所有的開發人員進行版本更新。

於2007年2月推出正式版的Apache Struts 2為Java EE網頁應用的開放源碼框架,包括中國的百度、阿里巴巴,與騰訊等大型網站都採用該框架。去年曾發現一潛伏6年的重大漏洞,允許駭客遠端控制Apache Struts 2伺服器並植入惡意程式。(編譯/陳曉莉)

熱門新聞

Advertisement