Zero
La Apache Software Foundation ha patchato critico vulnerabilità di sicurezza che colpisce tutte le versioni di Apache Struts 2.
Scoperto dai ricercatori di sicurezza informatica azienda Semmle, la falla di sicurezza è causato dall’insufficiente convalida di non attendibili i dati utente nel core del framework Struts.
Quando Apache Struts utilizza i risultati senza spazio e nel tempo stesso, alto le azioni non hanno wild spazio dei nomi. La stessa opportunità per sfruttare esiste quando il tag URL è in uso e non c’è alcun valore o impostare l’azione.
Vedi anche: i Messicani servita Scuro con Tequila, spyware sprea
Come il bug, CVE-2018-11776, è stato scoperto nel Struts core, il team dice che non ci sono più i vettori di attacco minaccia, gli attori hanno potuto utilizzare per sfruttare la vulnerabilità.
Se il alwaysSelectFullNamespace flag è impostato su true nel Struts configurazione, che è automaticamente il caso in cui il Struts Convenzione plugin è in uso, o se un utente Struts file di configurazione contiene un tag che non specifica il namespace opzionale o l’attributo specifica un carattere jolly spazio dei nomi, è probabile che la generazione è vulnerabile agli attacchi.
L’uomo Yue Mo dal Semmle Team di Ricerca sulla Sicurezza in primo luogo segnalato la falla.
“Questa vulnerabilità interessa comunemente usati endpoint di Struts, di cui possono essere esposti, l’apertura di un vettore di attacco di hacker,” Mo dice. “In cima a quello, la debolezza è legata al Struts OGNL lingua, che gli hacker sono molto familiare con, e sono noti per essere stati sfruttati in passato”.
La vulnerabilità affligge tutte le versioni di Apache Struts 2.
Le aziende che utilizzano il popolare framework open source sono invitati ad aggiornare il loro costruisce immediatamente. Gli utenti di Struts 2.3 si consiglia di aggiornare a 2.3.35; gli utenti di Struts 2.5 bisogno di aggiornamento per aggiornare a 2.5.17.
Come le ultime uscite solo contiene le correzioni per la vulnerabilità, Apache non si aspetta che gli utenti che si verifichino dei problemi di compatibilità.
“Precedente informativa allo stesso modo vulnerabilità critiche hanno portato exploit di essere pubblicato entro un giorno, mettendo infrastrutture critiche e i dati del cliente a rischio”, Semmle dice. “Tutte le applicazioni che utilizzano i supporti sono potenzialmente vulnerabili, anche quando nessun plugin aggiuntivi sono stati abilitati.”
TechRepublic: Come configurare, monitorare e gestire Apache con ApacheGUI
Mo primo ha riportato i risultati nel mese di aprile. Da giugno, Apache Struts team ha pubblicato il codice che ha risolto il problema, che portano al rilascio di patch ufficiali, il 22 agosto.
Precedente e relativa copertura
Hacker contiene i dati di 20.000 Superdrug clienti di riscatto Turla backdoor compromesso governo Europeo uffici esteri Philips rivela l’esecuzione di codice vulnerabilità cardiovascolare dispositivi
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0