Apache Struts
ASF bendruomenės prižiūrimoje „Confluence“ svetainėje paskelbtoje konsultacijoje nuotolinio kodo vykdymo pažeidžiamumą „Apache Struts 2.x“ aptiko ir išplėtojo Yasser Zamani. Atradimą padarė Man Yue Mo iš „Semmle Security“ tyrimų grupės. Nuo to laiko pažeidžiamumas buvo pažymėtas CVE-2018-11776. Nustatyta, kad tai daro įtaką „Apache Struts“ versijoms nuo 2.3 iki 2.3.34 ir nuo 2.5 iki 2.5.16 su galimomis nuotolinio kodo vykdymo galimybėmis.
Šis pažeidžiamumas kyla dėl to, kad naudojami rezultatai be vardų, o jų viršutiniuose veiksmuose taip pat nėra jokių vardų arba yra pakaitinių vardų. Šis pažeidžiamumas taip pat kyla dėl URL žymų naudojimo be nustatytų verčių ir veiksmų.
Siūlomas darbas aplink patariamoji siekiant sušvelninti šį pažeidžiamumą, kuris reikalauja, kad vartotojai užtikrintų, jog vardų sritis visada būtų nustatyta be klaidų visiems apibrėžtiems rezultatams pagrindinėse konfigūracijose. Be to, vartotojai taip pat turi užtikrinti, kad jie visada nustatytų URL žymų vertes ir veiksmus, atitinkamai nesugebėdami jų JSP. Į šiuos dalykus reikia atsižvelgti ir juos užtikrinti, kai viršutinės vardų srities nėra arba ji yra pakaitinė.
Nors pardavėjas nurodė, kad paveiktos versijos nuo 2.3 iki 2.3.34 ir nuo 2.5 iki 2.5.16, jie taip pat mano, kad nepalaikomoms „Struts“ versijoms taip pat gali kilti šio pažeidžiamumo pavojus. Palaikomoms „Apache Struts“ versijoms pardavėjas išleido „Apache Struts“ versiją 2.3.35 2.3.x versijos pažeidžiamumui ir išleido versiją 2.5.17 2.5.x versijos pažeidžiamumui. Vartotojų prašoma atnaujinti į atitinkamas versijas, kad būtų išvengta išnaudojimo rizikos. Pažeidžiamumas vertinamas kaip kritinis, todėl reikia nedelsiant imtis veiksmų.
Be šių galimų nuotolinio kodo vykdymo pažeidžiamumų pašalinimo, atnaujinimuose taip pat yra keletas kitų saugos naujinimų, kurie buvo išleisti vienu ypu. Negalima tikėtis atgalinių suderinamumo problemų, nes kiti įvairūs naujinimai nėra išleistų paketų versijų dalis.
