Уязвимость удаленного выполнения кода в Apache Struts 2.x устранена в обновлении

Новости
Безопасность / Уязвимость удаленного выполнения кода в Apache Struts 2.x устранена в обновлении 1 минута на чтение

Стойки Apache



В сообщении, опубликованном на веб-сайте Confluence, поддерживаемом сообществом ASF, Яссер Замани обнаружил и разработал уязвимость удаленного выполнения кода в Apache Struts 2.x. Открытие сделал Ман Юэ Мо из исследовательской группы Semmle Security. Уязвимости с тех пор присвоили метку CVE-2018-11776. Было обнаружено, что это влияет на версии Apache Struts с 2.3 по 2.3.34 и с 2.5 по 2.5.16 с возможными возможностями использования уязвимостей удаленного выполнения кода.

Эта уязвимость возникает из-за того, что результаты без пространства имен используются, в то время как их верхние действия не имеют пространства имен или имеют пространство имен с подстановочными знаками. Эта уязвимость также возникает из-за использования тегов URL без заданных значений и действий.



ce-34788-0

Обход предлагается в консультативный для смягчения этой уязвимости, которая требует, чтобы пользователи гарантировали, что пространство имен всегда обязательно устанавливается для всех определенных результатов в базовых конфигурациях. В дополнение к этому, пользователи также должны убедиться, что они всегда и в обязательном порядке всегда устанавливают значения и действия для тегов URL в своих JSP. Эти вещи необходимо учитывать и обеспечивать, когда верхнее пространство имен не существует или существует как подстановочный знак.



Хотя поставщик указал, что уязвимости подвержены версии в диапазоне от 2.3 до 2.3.34 и от 2.5 до 2.5.16, он также считает, что неподдерживаемые версии Struts также могут подвергаться риску этой уязвимости. Для поддерживаемых версий Apache Struts поставщик выпустил версию Apache Struts. 2.3.35 для уязвимостей версии 2.3.x, и выпустила версию 2.5.17 для уязвимостей версии 2.5.x. Пользователям предлагается перейти на соответствующие версии, чтобы избежать риска использования уязвимостей. Уязвимость оценивается как критическая, поэтому требуются немедленные действия.



Помимо простого исправления этих возможных уязвимостей удаленного выполнения кода, обновления также содержат несколько других обновлений безопасности, которые были развернуты за один раз. Проблем с обратной совместимостью не ожидается, поскольку другие различные обновления не являются частью выпущенных версий пакета.