В Apache Struts выявлена критическая уязвимость


ApacheВ популярном решении Apache Struts была выявлена критическая уязвимость "нулевого дня", которая позволяет злоумышленникам, манипулируя параметрами ClassLoader, выполнять на сервере с запущенным программным обеспечением Struts произвольный код.

Напомним, что Apache Struts - это инструмент для разработчиков, фреймворк с открытым исходным кодом, который предназначен для создания веб-приложений на основе Java.

Фреймворк Apache Struts на сегодняшний день получил широкое распространение. Он используется для построения крупных веб-сайтов, а также является частью приложений корпоративного уровня. Еще Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты.

Чтобы устранить уязвимость в компоненте ClassLoader, необходимо обновить Apache Struts до версии 2.3.16.2, которая была выпущена 24 апреля 2014 года.

В коммерческой сфере фреймворк Apache Struts применяется в ИТ-системах Альфа-банка и платежной системы Qiwi.

Разработчиками предполагалось, что уязвимость будет устранена еще в версии 2.3.16.1., однако введенных улучшений оказалось не достаточно. И в итоге, на своем сайте разработчики выложили инструкцию по временному устранению бреши, пока не выйдет новый патч. Вся инструкция сводилась к редактированию файла struts.xml.

Напомним, что обновление 2.3.16.1 было выпущено еще в начале марта, и лишь в конце апреля стало ясно, что требуемой защиты оно не обеспечивает.

Поэтому, всем кто еще не успел обновиться до Apache Struts 2.3.16.2, рекомендуется это сделать немедленно


Обновлено (28.04.2014 15:35)