sábado, 10 de mayo de 2014

Actualización de seguridad para Apache Struts

Apache ha confirmado que un problema en el proyecto Apache Struts que podría permitir a un atacante modificar estados internos de Struts.

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada.

Una vez más un problema no solucionado adecuadamente en una versión anterior obliga a publicar una actualización para su corrección. En esta ocasión se debe a la manipulación de ClassLoader a través de CookieInterceptor cuando está configurado para aceptar todas las cookies

La exclusión de parámetros introducida en la versión 2.3.16.2 para bloquear el acceso al método getClass() no cubría todas las causas por lo que un atacante podría llegar a modificar el estado de la sesión, petición y más (en caso de que se use "*" en el parámetro cookiesName).

Se ha publicado la versión 2.3.16.3 que soluciona el problema.

Más información:

Extends excluded params in CookieInterceptor to avoid manipulation of Struts' internals



Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada