Nul
De Apache Software Foundation is gepatcht een kritieke kwetsbaarheid in de beveiliging die geldt voor alle versies van Apache Struts 2.
Ontdekt door onderzoekers van cybersecurity bedrijf Semmle, de lek wordt veroorzaakt door het onvoldoende validatie van niet-vertrouwde gebruiker gegevens in de kern Struts framework.
Wanneer Apache Struts gebruikt de resultaten met geen naamruimte en in dezelfde tijd, de bovenste acties hebben geen wild-naamruimte. Dezelfde mogelijkheid voor het exploiteren bestaat wanneer de URL-tag is in gebruik en er is geen waarde of een actie in te stellen.
Zie ook: Mexicanen geserveerd met Donkere Tequila in spyware spree
Als de bug, CVE-2018-11776, is ontdekt in de Veerpoten kern, het team zegt dat er meerdere beveiligingslekken dreigingen kunnen gebruik maken van het beveiligingslek misbruiken.
Als de alwaysSelectFullNamespace vlag op true is ingesteld in de Struts-configuratie, dat is automatisch het geval als de Veerpoten Verdrag plugin is in gebruik, of als een gebruiker Struts configuratie bestand bevat een tag die niet geven de optionele naamruimte-attribuut specificeert een wildcard naamruimte, is het waarschijnlijk dat de bouw is kwetsbaar is voor aanvallen.
Man Yue Mo van de Semmle Security Research Team eerste melding van de fout.
“Dit beveiligingslek treft gebruikte eindpunten van Versterkingen, die waarschijnlijk zullen worden blootgesteld, het openen van een aanval om kwaadwillende hackers,” Mo zegt. “Op de top van dat, de zwakte is in verband met de Versterkingen OGNL taal, die hackers zijn zeer vertrouwd met, en bekend te zijn misbruikt in het verleden.”
De kwetsbaarheid is van invloed op alle versies van Apache Struts 2.
Bedrijven die gebruik maken van de populaire open-source framework worden aangespoord tot een update van hun bouwt onmiddellijk. Gebruikers van Struts 2.3 worden aangeraden om te upgraden naar 2.3.35; de gebruikers van Struts 2.5 behoefte aan een upgrade om te upgraden naar 2.5.17.
Als de nieuwste releases bevatten alleen de correcties voor de kwetsbaarheid, Apache niet verwachten dat gebruikers ervaren geen problemen met achterwaartse compatibiliteit.
“Vorige openbaarmaking van dezelfde kritieke kwetsbaarheden hebben geresulteerd in exploits worden gepubliceerd binnen een dag, waardoor kritieke infrastructuur en de gegevens van de klant in gevaar,” Semmle zegt. “Alle applicaties die gebruik maken van Versterkingen zijn potentieel kwetsbaar is, zelfs wanneer er geen extra plugins zijn ingeschakeld.”
TechRepublic: Hoe te configureren, controleren en beheren van de Apache met ApacheGUI
Mo eerste melding van de bevindingen in April. In juni, de Apache Struts team de code gepubliceerd waarmee het probleem opgelost, wat leidt tot het vrijkomen van officiële patches op 22 augustus.
Vorige en aanverwante dekking
De Hacker heeft de gegevens van 20.000 Superdrug klanten om losgeld Turla backdoors compromis Europese regering buitenlandse kantoren Philips onthult code kwetsbaarheden in de cardio-apparaten
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0