Apache Struts
I en rådgivning, der blev offentliggjort på Confluence-webstedet, der blev opretholdt af ASF-samfundet, blev en sårbarhed med fjernudførelse af kode i Apache Struts 2.x opdaget og uddybet af Yasser Zamani. Opdagelsen blev foretaget af Man Yue Mo fra forskningsholdet Semmle Security. Sårbarheden er siden blevet mærket CVE-2018-11776. Det viser sig at påvirke Apache Struts version 2.3 til 2.3.34 og 2.5 til 2.5.16 med mulig udnyttelse af fjernkodeudnyttelsesmuligheder.
Denne sårbarhed opstår, når resultater uden navneområde bruges, mens deres øvre handlinger heller ikke har noget navneområde eller har wildcard-navneområde. Denne sårbarhed opstår også ved brugen af URL-tags uden indstillede værdier og handlinger.
Et arbejde rundt foreslås i rådgivende for at afbøde denne sårbarhed, der kræver, at brugerne sikrer, at navneområdet altid indstilles uden fejl for alle definerede resultater i de underliggende konfigurationer. Ud over dette skal brugerne også sikre, at de altid indstiller værdier og handlinger for henholdsvis URL-tags uden fejl i deres JSP'er. Disse ting skal overvejes og sikres, når det øverste navneområde ikke findes eller findes som et jokertegn.
Selvom leverandøren har skitseret, at versioner i området 2.3 til 2.3.34 og 2.5 til 2.5.16 er berørt, mener de også, at ikke-understøttede Struts-versioner også kan være i fare for denne sårbarhed. For understøttede versioner af Apache Struts har sælgeren frigivet Apache Struts-versionen 2.3.35 til 2.3.x version sårbarheder, og den har frigivet version 2.5.17 til sårbarheder i version 2.5.x. Brugere opfordres til at opgradere til de respektive versioner for at undgå risikoen for udnyttelse. Sårbarheden rangeres som kritisk, og der anmodes derfor om øjeblikkelig handling.
Ud over den blotte løsning på disse mulige sårbarheder med fjernudførelse af kode, indeholder opdateringerne også et par andre sikkerhedsopdateringer, der er rullet ud på én gang. Bagudkompatibilitetsproblemer forventes ikke, da andre diverse opdateringer ikke er en del af de frigivne pakkeversioner.
