Apache Struts
I en rådgivning som publicerades på Confluence-webbplatsen som underhålls av ASF-communityn upptäcktes och utarbetades en sårbarhet för fjärrkodkörning i Apache Struts 2.x av Yasser Zamani. Upptäckten gjordes av Man Yue Mo från forskargruppen Semmle Security. Sårbarheten har sedan dess fått etiketten CVE-2018-11776. Det har visat sig att det påverkar Apache Struts version 2.3 till 2.3.34 och 2.5 till 2.5.16 med möjlig fjärrkodkörning.
Denna sårbarhet uppstår när resultat utan namnområde används medan deras övre åtgärder inte har något namnområde eller har jokerteckennamn. Denna sårbarhet uppstår också genom användning av URL-taggar utan inställda värden och åtgärder.
Ett arbete kring föreslås i rådgivande för att mildra denna sårbarhet som kräver att användarna ser till att namnområdet alltid ställs in utan fel för alla definierade resultat i de underliggande konfigurationerna. Utöver detta måste användare också se till att de alltid ställer in värden och åtgärder för URL-taggar respektive utan att misslyckas i sina JSP. Dessa saker måste beaktas och säkerställas när det övre namnområdet inte finns eller finns som ett jokertecken.
Även om leverantören har beskrivit att versioner i intervallet 2.3 till 2.3.34 och 2.5 till 2.5.16 påverkas, tror de också att icke-stödda Struts-versioner också kan riskera denna sårbarhet. För versioner av Apache Struts som stöds har leverantören släppt Apache Struts-versionen 2.3.35 för 2.3.x version sårbarheter, och den har släppt version 2.5.17 för sårbarheter i version 2.5.x. Användarna uppmanas att uppgradera till respektive version för att undvika risken för exploatering. Sårbarheten rankas som kritisk och därför begärs omedelbar åtgärd.
Förutom att bara fixa dessa eventuella sårbarheter för fjärrkodkörning innehåller uppdateringarna också några andra säkerhetsuppdateringar som har rullats ut på en gång. Bakåtkompatibilitetsproblem förväntas inte eftersom andra diverse uppdateringar inte ingår i paketversionerna.
