Fechada Falha Crítica no Apache Struts 2

Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.

Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime().exec() para executar um comando arbitrário, caso uma ação vulnerável tenha existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.

Saiba Mais:

[1] Wiki Apache https://cwiki.apache.org/confluence/display/WW/S2-009
[2] Struts http://struts.apache.org/2.x/docs/ve...otes-2312.html

_{Tags :
apache,

classes,

comando,

critica,

falha,

invasor,

java,

método,

struts}

Destaques do Under-Linux:

Oracle: Correção de 88 Vulnerabilidades

Java SE: Atualizações Corrigem Falhas Críticas de Segurança

Oracle: Correção de 78 Falhas de Segurança

Chrome 15 Corrige Falhas e Atualiza Flash

Oracle: Correção de 76 Vulnerabilidades de Segurança

Sobre o Autor: Camilla Lemke

Redatora do Portal Under-Linux.Org, com ênfase em Distribuições Linux, Análise Forense Computacional, Testes de Invasão, Auditoria de Redes e Sistemas. Atuante como Gestor Financeiro e Pentester.

Fechada Falha Crítica no Apache Struts 2

Publicidade

Últimas do Portal

Aumenta Número de Spam com Anexos Maliciosos

Cracker Preso por Atacar Gamers do Call Of Duty

MacScan 2.0.3 com Suporte ao Google Chrome e Suíte SeaMonkey

Worm Disfarçado de Imagem .JPG Ataca Usuários do Facebook

Twitter Suporta Opção "Do Not Track"