События

В Struts 2 исправлена очередная критическая уязвимость

Организация Apache Foundation предупредила разработчиков о необходимости обновить используемые ими установки Struts 2 и использующие код проекты. Причина – критическая уязвимость в ключевом компоненте фреймворка.

Согласно выпущенному на этой неделе уведомлению , CVE-2016-1000031 представляет собой ошибку десериализации в библиотеке commons-fileupload, позволяющую запуск в Java Object непроверенного кода. Злоумышленники могут проэксплуатировать ее удаленно на целевом хосте и получить контроль над сервером, установить шпионское ПО и пр.

Для осуществления атаки злоумышленникам нужно добавить на уязвимый сайт файл-ловушку и дождаться, когда Struts 2 ненароком выполнит спрятанный в нем вредоносный код. Проблема затрагивает проекты, использующие встроенный механизм загрузки файлов в Struts 2, использующийся по умолчанию для commons-fileupload.

В версии Struts 2.5.12 уязвимая библиотека заменена обновленной. В развернутых приложениях разработчики могут исправить проблему, заменив JAR-файл commons-fileupload в WEB-INF/lib новым, исправленным JAR-файлом. Проекты с использованием уязвимых версий Struts нужно обновить вручную, на что может потребоваться немало времени.

Почему в CVE-идентификаторе уязвимости указан 2016 год, а исправлена она только сейчас, Apache не уточняет.

Источник

Автор: Сергей Куприянов
7.11.2018 (13:05)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.