Krytyczne podatności w Apache Struts 2

data aktualizacji

Apache opublikował dwa komunikaty bezpieczeństwa, które mają na celu załatanie potencjalnych podatności w zabezpieczeniach. Luki zostały sklasyfikowane odpowiednio jako problemy ze zdalnym wykonaniem kodu i odmową usługi. 

Według komunikatu opublikowanego przez Agencję ds. Cyberbezpieczeństwa i Infrastruktury (CISA) te dwie wady dotyczą Apache Struts w wersjach od 2.0.0 do 2.5.20. Zespół bezpieczeństwa Apache Struts apeluje do administratorów o uaktualnienie ich instalacji do wersji 2.5.22. Apache Struts 2 to rozszerzalna platforma o otwartym kodzie źródłowym do tworzenia aplikacji internetowych Java dla przedsiębiorstw. Niezałatane instalacje mogą pozwolić atakującym na wykonanie złośliwych działań.

CVE-2019-0230 luka w Object-Graph Navigation Language (OGNL), która występuje, gdy Struts próbuje przeprowadzić ocenę surowych danych wejściowych użytkownika w atrybutach tagów. Osoba atakująca może wykorzystać tę lukę, wstrzykując złośliwe wyrażenia OGNL do atrybutu. Według Apache, wykorzystanie tej luki może spowodować zdalne wykonanie kodu (RCE).

CVE-2019-0233 to luka w zabezpieczeniach typu „odmowa usługi” (DoS), która wynika z nadpisania uprawnień dostępu podczas przesyłania pliku. Zgodnie z biuletynem zabezpieczeń S2-060, osoba atakująca może być w stanie zmodyfikować żądanie podczas operacji przesyłania pliku w taki sposób, że przesłany plik będzie miał dostęp tylko do odczytu. Po przesłaniu pliku dalsze działania na pliku zakończą się niepowodzeniem. Wykorzystanie tej luki może również uniemożliwić wszelkich kolejnych operacji przesyłania plików.

Więcej informacji:

https://struts.apache.org/announce#a20200813
https://cwiki.apache.org/confluence/display/ww/s2-059
https://cwiki.apache.org/confluence/display/ww/s2-060