Apache Vakfı, geliştiricilerin Struts 2 kurulumlarını ve projelerini kod kullanarak güncellemelerini istiyor , bu çerçevenin önemli bir bileşeninde kritik bir güvenlik bozukluğu bulundu.
Apache’nin bu haftaki bir uyarısı , devlerin, web sitelerinin ve diğer uygulamaların CVE-2016-1000031’nin istismarlarından korumak için 2.5.12 veya üstü Struts sürümlerini çalıştırdığından emin olmaları gerektiğini ortaya koyuyor. Güvenlik açığı, bir Java Nesnesindeki denetimsiz bir kodda denetimsiz kodun çalışmasına izin veren bir seri kaldırma hatası, commons dosya yükleme kitaplığında bulundu.
Bir miscreant, sunucunun kontrolünü ele geçirme, casus yazılım yükleme ve başka bir yaralanmaya neden olmalarını sağlayarak, hedeflenen ana bilgisayarda uzaktan yürütme kusurundan yararlanabilir. Saldırı genellikle, savunmasız bir web sitesine bubi tuzağıyla yakalanmış bir dosya göndermeyi ve Struts 2’nin belgenin içine kaçak olarak yönlendirilen kötü amaçlı kodun yanlışlıkla yürütülmesini beklemeyi gerektirir.
Apache, “Ortak dosya yükleme yükünü kullanan Struts 2’nin yerleşik dosya yükleme mekanizmasını kullanıyorsa projeniz etkilenir.”
“Güncelleştirilmiş commons-fileupload kütüphanesi, güvenlik açığından etkilenen sürümün yerini alacak bir değiştirmedir. Dağıtılan uygulamalar, commons-fileupload jar dosyası WEB-INF / lib içindeki sabit jar ile değiştirilerek sertleştirilebilir.”
Apache, ilk olarak 2016’da CVE’den yola çıkarak bir kataloğun ilk defa taranmasının neden sadece 2018 Kasım’ında yandığını söylemedi. Struts’un en son sürümüne güncelleme, gelecekteki projeleri istismardan koruyacak, daha eski sürümlerle oluşturulmuş projelerin manuel olarak güncellenmesi gerekecektir. Apache, bunun projeye bağımlılık eklenerek yapılabileceğini söyledi:
<dependency>
<groupId>commons-fileupload</groupId>
<artifactId>commons-fileupload</artifactId>
<version>1.3.3</version>
</dependency>
SANS ağ güvenlik araştırmacısı Johannes Ullrich, söz konusu düzeltmenin mevcut tüm projelere eklenmesinin muhtemelen geliştiriciler için uzun ve yorucu bir süreç olacağını söyledi. Ullrich , “Bunu düzeltmek için basit bir ‘yeni Struts versiyonu’ yoktur” . “Commons dosya yükleme kitaplığını el ile değiştirmelisiniz.”
Çoğu netizens Struts’a aşina olmayacak olsa da, çerçevedeki savunmasızlıklar atlamak için hiçbir şey değildir. Çerçeve içindeki hatalar, çevrimiçi istismarlar için giderek daha popüler bir hedeftir.
Böyle bir Struts çatışması, 2017 yılında Equifax’taki sistemlere girmek için hatayı kullanan ve sonuçta 145 milyondan fazla Amerikalı’nın kişisel detaylarını tehlikeye atan saldırganlar tarafından istismar edildi .