Nul
Apache Software Foundation har lappet en kritisk sårbarhed, som påvirker alle versioner af Apache, Struts 2.
Afsløret af forskere fra cybersecurity firma Semmle, sikkerhed fejl er forårsaget af utilstrækkelig validering af tillid til brugeren data i den centrale Stivere ramme.
Når Apache Stivere anvender resultaterne uden namespace og på samme tid, øvre handlinger har ingen wild namespace. Den samme mulighed for at udnytte eksisterer, når den URL tag er i brug, og der er ingen værdi eller en handling.
Se også: Mexicanere, der serveres med Mørk Tequila i spyware amok
Da den fejl, CVE-2018-11776, er blevet opdaget i Struts kerne, team siger, at der er flere angrebsvektorer trussel aktører kan bruge for at udnytte sårbarheden.
Hvis alwaysSelectFullNamespace flag er sat til true i Struts-konfiguration, som er automatisk tilfældet, når Struts-Konventionen plugin er i brug, eller hvis en brugers Struts konfigurationsfil indeholder en tag, som ikke angive den valgfrie namespace attribut eller angiver et wildcard namespace, det er sandsynligt, opbygge, er sårbare over for angreb.
Man Yue Mo fra Semmle Security Research Team først rapporterede fejl.
“Denne sårbarhed påvirker almindeligt anvendte effektparametre af Stolper, som sandsynligvis vil blive udsat for, åbner op for et angreb af ondsindede hackere,” siger Mo. “På toppen af, at den svage er relateret til Struts OGNL sprog, som hackere er meget fortrolig med, og er kendt for at have været udnyttet i fortiden.”
Sårbarheden påvirker alle versioner af Apache, Struts 2.
Virksomheder, der anvender den populære open-source framework opfordres til at opdatere deres opbygninger med det samme. Brugere af Struts 2.3 rådes til at opgradere til 2.3.35; brugere af Struts 2.5 nødt til at upgrade til at opgradere til 2.5.17.
Som den nyeste udgivelser kun indeholder rettelser til den sårbarhed, Apache ikke forvente brugerne til at opleve nogen bagudkompatibilitet spørgsmål.
“Tidligere afsløringer af tilsvarende kritiske sårbarheder, har resulteret i, udnytter blive offentliggjort inden for en dag, at sætte kritisk infrastruktur og kundernes data i fare,” Semmle siger. “Alle programmer, der bruger Struts er potentielt sårbare, selv når der ikke er nogen ekstra plugins, er blevet aktiveret.”
TechRepublic: Hvordan til at konfigurere, overvåge og administrere Apache med ApacheGUI
Mo første rapporterede resultater i April. I juni, Apache Stivere team offentliggjort den kode, der løste problemet, hvilket fører til frigivelse af officielle patches på August 22.
Tidligere og relaterede dækning
Hacker har data på 20.000 Superdrug kunder som gidsler Turla bagdøre kompromis Europæiske regering udenlandske kontorer Philips afslører kode sårbarheder i hjerte-kar-udstyr
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0