关键信息 主题: Re: 7.0.59 to 7.0.99 upgrade, CVE-2015-5174 fix prevents us from accessing resources outside context 参与者: Mark Thomas, Alex Pritchard 关键内容: - CVE-2015-5174修复导致无法访问外部资源: - 升级到7.0.99版本后,受到CVE-2015-5174修复的影响,导致无法访问到外部资源。 - 问题根源分析: - Alex Pritchard提到在7.0.78和7.0.79版本之间存在路径处理的差异,特别是 的行为变化。 - 7.0.78版本使用 来创建分发器路径,而7.0.79版本直接使用提供的URI,忽略 的修改。 - Servlet规范要求: - Mark Thomas指出, 必须返回原始、未修改的URI,这是Servlet规范的要求。 - 该规范导致了问题的广泛影响。 - 解决方案讨论: - Alex Pritchard提到通过覆盖默认参数来避免目录遍历问题,具体实现是修改了 注解传递的参数列表。 - 他通过在Struts 2中传递参数数组替代默认 属性,成功解决了目录遍历问题。 - 代码片段: - 相关邮件发布地址: users@tomcat.apache.org