原文链接:
http://www.cnblogs.com/yxnchinahlj/p/7770509.html
关于停止使用Apache Struts2开发框架的通知
各有关单位:
Apache Struts2(以下简称“S2”)是一种开源的、基于MVC架构的Java Web应用开发框架。
S2自从2007年面世以来被国内外广泛使用,但也因屡次被披露存在高风险漏洞而闻名。采用S2的信息系统(网站)已成为境内外黑客重点攻击对象,因未及时修补漏洞而被攻击的安全事件屡屡发生。
鉴于S2漏洞较多、维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2;在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。
据QQ群的消息,该通知来源 中山大学
刚刚结束的党的十九大安全保障中,Apache Struts2开发框架的检查被列为重中之重。
比如:《服务保障党的十九大网络安全专项督导检查典型问题清单》中,总共6类典型问题:
(1)SQL 注入
(2)Struts2 S2-016 远程代码执行
(3)文件上传
(4)弱口令
(5)Struts2 S2-045 远程代码执行
(6)XSS跨站脚本攻击
其中Struts2远程代码执行占了两类,而在十九大会议召开期间,各地网络安全主管部门也是对Struts2的信息系统给予了重点关照:
个人也是十分支持信息系统放弃apache Struts2框架的,特别是高校用户。
我为什么支持高校的信息系统放弃Apache Struts2框架(五) 软件厂商缺乏安全意识
我为什么支持高校的信息系统放弃Apache Struts2框架(四) 官方自暴自弃
我为什么支持高校的信息系统放弃Apache Struts2框架(三) 运维成本
