Celah Kritis di Apache Struts 2 Ditutup
Tim pengembang framework Java untuk Web Apache Struts 2 telah merilis versi2.3.1.2. Rilis ini menutup celah kritis pada Struts dari versi 2.0.0 to sampai versi 2.3.1.1 yang memungkinakn eksekusi perintah secara remote. Vulnerabilitas ini membuka kemungkinan proteksi disekitar OGNL, sebuah bahasa ekspresif untuk mengambil dan mengeset properti obyek Java dibypass dan ekspresi apapun akan dijalankan.
Contoh yang diberikan di advisory menunjukkan bagaimana penyerang bisa memanggil metode java.lang.Runtime.getRuntime().exec() untuk menjalankan perintah apapun jika tersedia sebuah aksi yang vulnerable. Ini bukan kali pertama OGNL bermasalah, pada tahun 2008 dan 2010, masalah serupa memungkinkan untuk manipulasi dan eksekusi class java tanpa otorisasi.
Pengembang sangat menyarankan pengguna untuk melakukan update ke Struts 2.3.1.2 yang tersedia untuk diunduh. Pengguna Maven akan mendapatkan detail mengenai bagaimana melakukan update di catatan rilis. Untuk Instalasi yang tidak memungkinkan untuk melakukan update, advisory yang ada menawarkan perubahan konfigurasi untuk menangani masalah ini.
Via : h-online open
Popularity: 2% [?]
Pingback: lnxbox
Pingback: muhammad panji
Pingback: Linuxbox.web.id – Rangkuman Berita Linux & Open Source – 23 Januari – 27 Januari 2012 | Entahlah…….