Struts2 is under attack или CVE-2013-2115

[skywatcher]

Я использовал Struts 2 для нескольких своих проектов и на работе и в принципе фреймворк оставил «довольно» теплые чувства. Есть альтернатива конечно в виде Spring MVC — но на мой взгляд более «толстая». Есть Play — но к нему у многих отношение весьма скептические к нему. Да и я почему-то к нему тоже несколько скептически настроен и не писал на нем ни одного проекта серьезнее hello world(возможно потому, что он отличается от Энтерпрайз фреймворков в моем понимании).

Какие еще альтернативы можете порекомендовать?

[alist]

Часто используют JAX-RS или что-то подобное в сочетании со статическим фронтендом. При этом фронтенд часто пишут на JS (или компилируемых в него языках) и оформляют в виде отдельного проекта, в которм ни строчки кода на Java. Результатом сборки является набор статических файлов, которые заливают на CDN. Общение между фронендом и бекендом либо через ajax, либо по вебсоккетам. UI в привычном понимании в Java-проекте отсутствует: сервер просто предоставляет API.

[skywatcher]

В случае с Rest сервисом (по крайней мере для меня) — я довольно быстро клепаю бэкенд, но потом на фронтенд работу уходит довольно много времени, если делать ее самостоятельно(по крайней мере для меня). Суммарно больше, чем если лепить на Struts2/Srping MVC + JSP.

[eyeless_watcher]

Есть информация, с какой версии оно появилось? Есть ли смысл срочно обновляться с 2.1.x или 2.2.x?

[d00kie]

Да. Уязвима вся вторая ветка: Affected Software Struts 2.0.0 — Struts 2.3.15

[khanid]

Судя по китайскому источнику, там и 2.3.15 уязвима. Эта же 2.3.15 висит и для скачки как «Best available».
Ошибся веткой. Комментарий предназначался уважаемому eyeless_watcher.

[eyeless_watcher]

Я понимаю, что уязвима свежая ветка. Вопрос состоит в том, успели ли в той версии ognl, которая идет в комплекте с версиями нескольких лет давности добавить те возможности, которые вылились в эту уязвимость.

[akuranda]

первый стратс не подвержен этой уязвимости, только 2 ветка

[eyeless_watcher]

2.1 и 2.2 — всё-таки не первый стратс, хоть и родом из тех времен :)

[skywatcher]

Протестировал локально — действительно, в 2.3.15 — еще дыра есть. В 2.3.15.1 — уже исправлено.

[olegnik]

Уязвима ли первая ветка struts 1.x?
Я из приведенных выше ссылок этого не понял.

[eyeless_watcher]

Говорят, нет. OGNL там не было, насколько я помню.