В Apache Struts 2 выявлена критическая уязвимость

Компания Digital Security сегодня сообщила о появлении критичной уязвимости в Apache Struts2, Java-фреймворке с открытым исходным кодом.

Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации.

24 апреля 2014 на китайских форумах появилось сообщение о 0-day уязвимости в Apache Struts2. Основная ее опасность в том, что она может привести к отказу в обслуживании, а в некоторых условиях может вызвать произвольное выполнение кода.

Подвержены все версии 2-ой ветки (2.0.0-2.3.16). Добиться произвольного выполнения кода возможно через манипуляцию с подстановкой классов (изменение значения ClassLoader, используя специальные запросы к серверу). Сама атака возможна в следствие некорректного регулярного выражения, которое было добавлено в качестве защиты для закрытия уязвимости, найденной в декабре 2013 (S2-020, http://struts.apache.org/release/2.3.x/docs/s2-020.html). Т.е. фактически все это время уязвимость так и не была до конца исправлена).

Пользователям Apache Struts2 срочно необходимо обновить конфигурацию Struts, следуя официальному заявлению разработчиков по ссылке http://struts.apache.org/announce.html#a20140424 до выхода обновления, которое будет доступно в течение 72 часов.


Поделиться ссылочкой: