Noll
Apache Software Foundation har lappat en kritisk säkerhetsrisk som påverkar alla versioner av Apache Struts 2.
Upptäckt av forskare från it-företaget Semmle, den säkerhetsbrist som orsakas av otillräcklig validering av icke-betrodda användare data i kärnan Struts-ramverket.
När Apache Struts använder resultaten med ingen namnområde och på samma tid, övre åtgärder har inga vilda rosor. Samma möjlighet för att utnyttja föreligger när en länk är i bruk och det finns inget värde eller åtgärder.
Se även: Mexikaner serveras med Mörka Tequila spyware spree
Som bugg, CVE-2018-11776, har upptäckts i Struts kärna, team säger att det finns flera olika angreppsvinklar hot aktörer kan använda för att utnyttja säkerhetsproblemet.
Om alwaysSelectFullNamespace flagga är satt till true i Struts-konfiguration, vilket är automatiskt fallet när Struts Konventionen plugin är i bruk, eller om en användare är Struts konfigurationsfil innehåller en tagg som inte ange tillval namespace attribut eller anger ett wildcard namespace, är det troligt att bygga är sårbara för angrepp.
Man Yue Mo från Semmle Säkerhet forskargrupp första rapporterade felet.
“Detta påverkar sårbarheten som ofta används ändpunkterna av Struts, som sannolikt kan komma att exponeras, att öppna upp ett angrepp av illvilliga hackare,” Mo säger. “På toppen av det, svagheten är relaterade till Fjäderben OGNL språket, vilken hackare är mycket bekant med, och är känd för att ha varit utnyttjas i det förflutna.”
Sårbarheten påverkar alla versioner av Apache Struts 2.
Företag som använder det populära open-source ramverk uppmanas att uppdatera sina bygger omedelbart. Användare av Struts 2.3 rekommenderas att uppgradera för att 2.3.35, användare av Struts 2.5 behov av att uppgradera för att uppgradera till 2.5.17.
Så de senaste nyheterna bara innehåller korrigeringar för säkerhetsproblem, Apache inte förväntar sig användarna att uppleva någon bakåtkompatibilitet frågor.
“Föregående upplysningar liknande kritiska sårbarheter har resulterat i bedrifter som publiceras inom en dag, att sätta kritisk infrastruktur och kunddata i riskzonen,” Semmle säger. “Alla program som använder Struts är potentiellt utsatta, även om ingen extra plugins har aktiverats.”
TechRepublic: Hur att konfigurera, övervaka och hantera Apache med ApacheGUI
Mo första rapporterade resultaten i April. Senast i juni, Apache Struts lag publicerad koden som löste problemet, leder till utsläpp av officiella patchar den 22 augusti.
Tidigare och relaterade täckning
Hacker innehar data 20.000 Superdrug kunder till lösen Turla bakdörrar kompromiss Europeisk regering utländska kontor Philips avslöjar kod sårbarheter i hjärt-enheter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0