Actualización de seguridad para Apache Struts


6G058HKW5241

Apache ha confirmado que un problema solucionado de forma incompleta en el proyecto Apache Struts podría seguir aprovechándose para ejecutar código remoto en el servidor. 

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada.

Con la versión Struts 2.3.16.1, se solucionó, aparentemente, un problema (con CVE-2014-0094) que permitía la manipulación de ClassLoader a través de parámetros. Sin embargo la corrección fue insuficiente. Se ha confirmado que un usuario remoto puede proporcionar ciertos valores específicos del parámetro ‘class‘, que van hacia la clase ParametersInterceptor, para de esta forma evadir el filtrado y proporcionar al cargador de clases ClassLoader una clase arbitraría y ejecutar código arbitrario a través de sus métodos.

Apache está trabajando en un parche para solucionar este nuevo problema, por el momento ha publicado las posibles contramedidas a aplicar para evitar posibles ataques. Disponibles en:

http://struts.apache.org/announce.html#a20140424

Se espera que la solución definitiva esté disponible en los próximos dos días.

 

Más información:

24 April 2014 – Struts up to 2.3.16.1: Zero-Day Exploit Mitigation

http://struts.apache.org/announce.html#a20140424

 

Fuente: http://unaaldia.hispasec.com

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s