PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Neue Versionen von Apache [Struts wehren sich gegen Schad-Code]



RedDevil
04.05.2016, 09:42
https://www.szenebox.org/images/_imported/2016/05/17.jpg

Über eine Sicherheitslücke können Angreifer Server mit Apache Struts unter Umständen aus der Ferne attackieren und Code ausführen.

Neue Versionen des Open-Source-Frameworks Struts von Apache schließen eine mit dem Bedrohungsgrad hoch eingestufte Lücke (https://struts.apache.org/docs/s2-032.html). Von der Schwachstelle sind die Linux-, Unix- und Windows-Versionen 2.3.20 bis 2.3.28 bedroht. Die Versionen 2.3.20.3 und 2.3.24.3 sollen nicht betroffen sein.

Laut den Entwicklern können Angreifer die Lücke aber nur als Einfallstor nutzen, wenn Dynamic Method Invocation aktiviert ist. Um sich abzusichern, müssen Admins diese Option deaktivieren oder eine der abgesicherten Versionen 2.3.20.3, (https://struts.apache.org/docs/version-notes-23203.html) 2.3.24.3 (https://struts.apache.org/docs/version-notes-23243.html) oder 2.3.28.1 (https://struts.apache.org/docs/version-notes-2328.html) einspielen.

Ist die Option aktiv, können Angreifer über einen speziell gebauten Datensatz via method: prefix serverseitig Code ausführen, warnt Apache.

Quelle: Heise.de (http://www.heise.de/security/meldung/Neue-Versionen-von-Apache-Struts-wehren-sich-gegen-Schad-Code-3196868.html)