Celah Kritis di Apache Struts 2 Ditutup
• 1 • 145
Tim pengembang framework Java untuk Web Apache Struts 2 telah merilis versi2.3.1.2. Rilis ini menutup celah kritis pada Struts dari versi 2.0.0 to sampai versi 2.3.1.1 yang memungkinakn eksekusi perintah secara remote. Vulnerabilitas ini membuka kemungkinan proteksi disekitar OGNL, sebuah bahasa ekspresif untuk mengambil dan mengeset properti obyek Java dibypass dan ekspresi apapun akan dijalankan.
Contoh yang diberikan di menunjukkan bagaimana penyerang bisa memanggil metode java.lang.Runtime.getRuntime().exec()
untuk menjalankan perintah apapun jika tersedia sebuah aksi yang vulnerable. Ini bukan kali pertama OGNL bermasalah, pada tahun dan , masalah serupa memungkinkan untuk manipulasi dan eksekusi class java tanpa otorisasi.
Pengembang sangat menyarankan pengguna untuk melakukan update ke Struts 2.3.1.2 yang tersedia untuk diunduh. Pengguna Maven akan mendapatkan detail mengenai bagaimana melakukan update di catatan rilis. Untuk Instalasi yang tidak memungkinkan untuk melakukan update, advisory yang ada menawarkan perubahan konfigurasi untuk menangani masalah ini.
Via :