В Struts 2 исправлена очередная критическая уязвимость
Организация Apache Foundation предупредила разработчиков о необходимости обновить используемые ими установки Struts 2 и использующие код проекты. Причина – критическая уязвимость в ключевом компоненте фреймворка.
Согласно выпущенному на этой неделе уведомлению , CVE-2016-1000031 представляет собой ошибку десериализации в библиотеке commons-fileupload, позволяющую запуск в Java Object непроверенного кода. Злоумышленники могут проэксплуатировать ее удаленно на целевом хосте и получить контроль над сервером, установить шпионское ПО и пр.
Для осуществления атаки злоумышленникам нужно добавить на уязвимый сайт файл-ловушку и дождаться, когда Struts 2 ненароком выполнит спрятанный в нем вредоносный код. Проблема затрагивает проекты, использующие встроенный механизм загрузки файлов в Struts 2, использующийся по умолчанию для commons-fileupload.
В версии Struts 2.5.12 уязвимая библиотека заменена обновленной. В развернутых приложениях разработчики могут исправить проблему, заменив JAR-файл commons-fileupload в WEB-INF/lib новым, исправленным JAR-файлом. Проекты с использованием уязвимых версий Struts нужно обновить вручную, на что может потребоваться немало времени.
Почему в CVE-идентификаторе уязвимости указан 2016 год, а исправлена она только сейчас, Apache не уточняет.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
