Apache Struts
В препоръка, публикувана на уебсайта на Confluence, поддържана от общността на ASF, уязвимостта от дистанционното изпълнение на код в Apache Struts 2.x е открита и разработена от Ясер Замани. Откритието е направено от Ман Юе Мо от изследователския екип на Semmle Security. Оттогава уязвимостта получава етикета CVE-2018-11776. Установено е, че засяга Apache Struts версии 2.3 до 2.3.34 и 2.5 до 2.5.16 с възможни възможности за експлоатация на дистанционно изпълнение на код.
Тази уязвимост възниква, когато се използват резултати без пространство от имена, докато горните им действия нямат нито пространство от имена, нито имат име на заместващи символи. Тази уязвимост възниква и от използването на URL тагове без зададени стойности и действия.
Предлага се заобикаляне в консултативен за смекчаване на тази уязвимост, която изисква от потребителите да гарантират, че пространството от имена винаги е зададено непрекъснато за всички дефинирани резултати в основните конфигурации. В допълнение към това, потребителите трябва също така да гарантират, че те винаги задават стойности и действия съответно за URL маркери, съответно в своите JSP. Тези неща трябва да бъдат разгледани и осигурени, когато горното пространство от имена не съществува или съществува като заместващ символ.
Въпреки че доставчикът подчерта, че версиите в диапазона от 2.3 до 2.3.34 и 2.5 до 2.5.16 са засегнати, те също така вярват, че неподдържаните версии на Struts също могат да бъдат изложени на риск от тази уязвимост. За поддържаните версии на Apache Struts доставчикът пусна версията Apache Struts 2.3.35 за уязвимости на версията 2.3.x и пусна версия 2.5.17 за уязвимости на версия 2.5.x. От потребителите се изисква да надстроят до съответните версии, за да се избегнат риска от експлоатация. Уязвимостта се класира като критична и по този начин се иска незабавно действие.
В допълнение към самото отстраняване на тези възможни уязвимости за отдалечено изпълнение на код, актуализациите съдържат и няколко други актуализации на защитата, които са пуснати наведнъж. Проблеми със обратна съвместимост не се очакват, тъй като други различни актуализации не са част от пуснатите версии на пакета.
