• Fechada Falha Crítica no Apache Struts 2

    Publicado em 23-01-2012 12:00
    0 Comentários Comentários
    Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.

    Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime().exec() para executar um comando arbitrário, caso uma ação vulnerável tenha ​​existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.


    Saiba Mais:

    [1] Wiki Apache https://cwiki.apache.org/confluence/display/WW/S2-009
    [2] Struts http://struts.apache.org/2.x/docs/ve...otes-2312.html
    + Enviar Comentário