前言
这两天突然被Apache Struts 2的新版发布勾起了尘封6年的回忆——2013年7月发布了2.3.15.1发布版,但在修复事项中公开了一段远程执行漏洞的示例代码,被黑客圈内利用,导致了中国大陆大量使用Struts2的网站被入侵。
但是,Apache官方又发布了Struts 2.5.22 GA 版,我们一起来看看吧!
官方宣言
Apache Struts 2.5.22 GA 已发布,官方称 Apache Struts 2 是一个优雅、可扩展的框架,可用于创建企业级 Java Web 应用程序。Struts 2 旨在简化从构建到部署,再到维护应用程序整个开发周期。
特别注意:
- Struts 2 增加了新的安全性增强功能,默认情况下它们是禁用的,但如果需要提升应用程序的安全性请考虑启用它们。
-
Apache Struts 2.5.x 系列最低要求版本如下:Servlet API 2.4, JSP API 2.0 和 Java 7。
Apache Struts 2.5.22 GA
2.5.22 GA版更新内容
- 修复在某些客户端中出现文件上传失败的错误
- listValueKey 中不存在的属性抛出异常
- 即使启用 logMissingProperties 也无法获取 OgnlValueStack 日志
- Struts 2.8.20 中不再提供对静态变量的调用
- 访问静态成员时 ProxyUtil 类中会出现 NullPointerException
- 由于并发,JSON 插件会出现 EmptyStackException
- 修复当解析 file:// URL 时将#作为网址的一部分的 Tiles bug
- 通过 OGNL 访问静态变量不返回任何内容
- HttpParameters.Builder 可以将对象封装在两层参数中
- 提交表单后会绑定整数数组
- 自 2.5.16 开始,提交两次 TokenSessionStoreInterceptor 会出现中断
- xerces 尝试从互联网加载资源
- Dispatcher 将堆栈跟踪(stacktraces)直接打印到控制台
- OGNL:出现非法的反射访问操作
- Struts2 的 convention plugin 缺少对 Java 11 的支持
- 升级 SLF4J 至最新的 1.7.x 版本
- 对 AbstractLocalizedTextProvider 的次要增强/修复
- 提供清除 OgnlUtil 缓存的机制
- Struts 2 单元测试会使用 StrutTestCase 类
- 升级 Jackson 库至最新版本
- 升级 OGNL 至 3.1.22
- 将一些 Struts 2.5.x 库更新为最新版本
- 升级 commons-beanutils 至 1.9.4
- 升级 Jackson-Databind 至 2.9.9.3
- 升级 OGNL 至 3.1.26 并采用其新功能
网友评论
网友评论
网友评论
还在用的小伙伴赶紧更新一下吧!
网友评论