Apache Struts 项目对 Equifax 事件发表声明

Equifax 上周承认多达 1.43 亿用户的敏感信息外泄，Apache Struts Web 框架也在同一时间爆出了一个有九年历史的漏洞，该漏洞编号为 CVE-2017-9805。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件，而 Apache Struts 项目被人怀疑与此有关。Apache Struts 项目今年爆出了两个漏洞，一个是在 3 月，另一个就是在上周。目前不清楚黑客究竟利用了什么漏洞。Apache Struts 项目为此发表声明澄清有关的传言。它解释说，在九年之后发现漏洞和已经知道漏洞几年是有重大区别的。如果是后者，开发团队将需要非常困难的给出足够好的解释为什么没有更早修复漏洞。但这里的情况并非如此，在接到漏洞报告之后，他们尽可能快的修复了漏洞。这个问题是一个常见的软件工程问题，开发者写代码去实现某个想要的功能，但并没有意识到某些不想要的副作用。