Apache Struts
Az ASF közösség által fenntartott Confluence weboldalon közzétett tanácsadóban Yasser Zamani felfedezett és kidolgozott egy távoli kódfuttatási sebezhetőséget az Apache Struts 2.x-ben. A felfedezést Man Yue Mo, a Semmle Security kutatócsoport munkatársa tette. A biztonsági rés azóta a CVE-2018-11776 címkét kapta. Megállapításunk szerint befolyásolja az Apache Struts 2.3–2.3.34 és 2.5–2.5.16 verzióit, lehetséges távoli kódfuttatási kihasználási lehetőségekkel.
Ez a biztonsági rés abból adódik, hogy névtér nélküli eredményeket használnak, miközben a felső műveleteikben nincs névtér, vagy helyettesítő névtérrel rendelkeznek. Ez a biztonsági rés abból adódik, hogy URL címkéket használnak beállított értékek és műveletek nélkül.
Körülbelüli munkát javasol a tanácsadó ennek a biztonsági résnek az enyhítése érdekében, amely megköveteli, hogy a felhasználók gondoskodjanak arról, hogy a névtér mindig kudarc nélkül legyen beállítva az alapul szolgáló konfigurációk összes meghatározott eredményéhez. Ezenkívül a felhasználóknak arról is gondoskodniuk kell, hogy az URL-címkékhez mindig értékeket és műveleteket állítsanak be, anélkül, hogy a JSP-kben hibát okoznának. Ezeket a dolgokat figyelembe kell venni és biztosítani kell, ha a felső névtér nem létezik, vagy helyettesítő karakterként létezik.
Bár a gyártó vázolta, hogy a 2.3–2.3.34 és a 2.5–2.5.16 tartományba eső verziók érintettek, úgy vélik, hogy a nem támogatott Struts verziók is veszélyeztetettek lehetnek a biztonsági rés miatt. Az Apache Struts támogatott verziói esetében a gyártó kiadta az Apache Struts verziót 2.3.35 2.3.x verziójú biztonsági résekhez, és kiadta a verziót 2.5.17 a 2.5.x verzió biztonsági réseihez. A felhasználókat arra kérjük, hogy frissítsenek a megfelelő verziókra, hogy elkerüljék a kihasználás kockázatát. A sérülékenységet kritikusnak minősítik, ezért azonnali cselekvésre van szükség.
Ezen lehetséges távoli kódfuttatási biztonsági rések puszta javításán kívül a frissítések tartalmaznak néhány egyéb biztonsági frissítést is, amelyeket egyhuzamban hoztak létre. A visszafelé kompatibilitási problémák nem várhatók, mivel más különféle frissítések nem képezik részét a kiadott csomagverzióknak.
