domingo, 5 de junio de 2016

Actualización de seguridad para Apache Struts

Apache ha confirmado dos vulnerabilidades en el proyecto Apache Struts que podrían permitir a un atacante remoto provocar condiciones de denegación de servicio o lograr ejecutar código arbitrario.

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005.

El primer problema, considerado de gravedad alta (con CVE-2016-3087), reside en la posibilidad de pasar una expresión maliciosa que podría emplearse para ejecutar código arbitrario en el lado del servidor al usar el plugin REST con Dynamic Method Invocation activo.

Por otra parte, con CVE-2016-3093, el lenguaje de expresiones OGNL (Object Graph Navigation Language) empleado por el framework de Apache Struts tiene una implementación inadecuada de la caché utilizada para almacenar las referencias a métodos. Es posible preparar un ataque de denegación de servicio que impida el acceso a un sitio web.

La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.20.3, 2.3.24.3, 2.3.28.1 o a Apache Struts 2.5; disponibles desde:

Más información:

Two security vulnerabilities reported

S2-033 Remote Code Execution can be performed when using REST Plugin with ! operator when Dynamic Method Invocation is enabled

S2-034 OGNL cache poisoning can lead to DoS vulnerability


Antonio Ropero
Twitter: @aropero



No hay comentarios:

Publicar un comentario en la entrada