Apache Struts
V odporúčaní zverejnenom na webovej stránke Confluence spravovanej komunitou ASF bola zraniteľnosť vzdialeného spustenia kódu v aplikácii Apache Struts 2.x objavená a rozpracovaná Yasserom Zamanim. Objav uskutočnil Man Yue Mo z výskumného tímu spoločnosti Semmle Security. Zraniteľnosť odvtedy dostala označenie CVE-2018-11776. Zistilo sa, že ovplyvňuje verzie Apache Struts 2.3 až 2.3.34 a 2.5 až 2.5.16 s možnými príležitosťami na zneužitie vzdialeného spustenia kódu.
Táto chyba zabezpečenia vzniká, keď sa použijú výsledky bez menného priestoru, zatiaľ čo ich horné akcie neobsahujú žiadny menný priestor alebo nemajú zástupný menný priestor. Táto zraniteľnosť vyplýva aj z použitia značiek URL bez nastavených hodnôt a akcií.
Navrhuje sa obísť poradný na zmiernenie tejto chyby zabezpečenia, ktorá vyžaduje, aby používatelia zabezpečili, že priestor názvov je vždy nastavený bez zlyhania pre všetky definované výsledky v základných konfiguráciách. Okrem toho musia používatelia tiež zabezpečiť, aby vo svojich súboroch JSP vždy nastavovali hodnoty a akcie pre značky URL. Tieto veci je potrebné zvážiť a zabezpečiť, ak horný priestor názvov neexistuje alebo existuje ako zástupný znak.
Aj keď predajca naznačil, že sú ovplyvnené verzie v rozmedzí od 2.3 do 2.3.34 a 2.5 až 2.5.16, domnievajú sa tiež, že táto chyba môže byť ohrozená aj u nepodporovaných verzií Struts. Pre podporované verzie Apache Struts predajca vydal verziu Apache Struts 2.3.35 pre zraniteľnosť verzie 2.3.xa vydala verziu 2.5.17 pre chyby zabezpečenia verzie 2.5.x. Od používateľov sa vyžaduje, aby inovovali na príslušné verzie, aby sa tak vyhlo riziku zneužitia. Zraniteľnosť je hodnotená ako kritická, a preto je potrebné okamžite konať.
Okrem samotnej opravy týchto možných chýb zabezpečenia pri vzdialenom spustení kódu obsahujú aktualizácie aj niekoľko ďalších bezpečnostných aktualizácií, ktoré boli zavedené naraz. Problémy so spätnou kompatibilitou sa neočakávajú, pretože súčasťou vydaných verzií balíka nie sú ďalšie rôzne aktualizácie.
