• Struts: Disponível Atualização de Segurança Importante

    Publicado em 31-05-2013 10:00
    0 Comentários Comentários
    A versão de atualização 2.3.14.2 do framework Apache Struts Java corrige várias vulnerabilidades de alto-risco que permitia a atacantes injetar código no servidor, por exemplo, via requisições HTTP especialmente modificadas. As brechas foram identificadas como CVE-2013-2115 e CVE-2013-1966. De acordo com os desenvolvedores do Struts, o nível máximo de ameaça é o "altamente crítico".


    Os detahes sobre a vulnerabilidade e o PoC (Proof of Concept) podem ser encontrados no Coverity blog. Originalmente, era esperado que a atualização para o Struts 2.3.14.1 fecharia todas as brechas, mas o update falhou em bloquear todos os vetores de ataque em potencial. Todas as versões anteriores a 2.3.14.2 são vulneráveis. Aqueles que utilizam esse framework em seus servidores devem garantir que o mesmo está atualizado o mais rápido possível.

    Esse é mais um problema relacionado a OGNL para o framework Apache Struts. Brechas na implementação da linguagem de expressão já haviam sido descobertas e fechadas, em Janeiro de 2012, Agosto de 2010 e Novembro de 2008.

    Saiba Mais:

    - Heise Online: Important security update for Apache Struts (em Inglês)
    + Enviar Comentário