События

Уязвимость в Apache Struts позволяет удаленно выполнить код

В популярном фреймворке для создания web-приложений Apache Struts обнаружена критическая уязвимость, позволяющая удаленному атакующему запускать на сервере вредоносный код. Проблема затрагивает все версии фреймворка, начиная с 2008 года (от Struts 2.5 до Struts 2.5.12).

Уязвимость (CVE-2017-9805) существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. Если говорить конкретнее, плагин REST не способен обработать полезную нагрузку XML при должной десериализации. Таким образом, все web-приложения, где используется плагин REST, уязвимы к удаленным атакам.

Как пояснили обнаружившие проблему исследователи компании LGTM, проэксплуатировать уязвимость невероятно легко. «Все, что вам нужно – это браузер», – отметил специалист LGTM Ман Юэ Мо (Man Yue Mo). Для осуществления атаки злоумышленник должен внедрить вредоносный XML-код в определенном формате. Если атака окажется удачной, хакер получит полный контроль над уязвимым сервером и, как результат, сможет проникнуть в другие системы, находящиеся в той же сети.

Уязвимость исправлена в версии Apache Struts 2.5.13. Исследователи раскроют технические подробности о ней и опубликуют PoC-код эксплоита несколько позже, дав администраторам время на установку обновления.

Apache Struts – фреймворк с открытым исходным кодом для создания Java EE web-приложений. Основывается на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC. Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года.

Источник

Автор: Сергей Куприянов
13.09.2017 (05:47)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.