In dem Java-Framework Struts 2 hat die Apache Foundation eine kritische Lücke geschlossen, durch die ein Angreifer Code auf dem Server ausführen kann. Beim Parsing von URL-Parametern tritt die Lücke auf. Vom Nutzer übergebene Parameter filtert Struts nicht korrekt, wodurch es Teile der Parameter unter Umständen als OGNL-Befehle (Object-Graph Navigation Language) ausführt. Der Entdecker der Lücke, Meder Kydyraliev vom Google Security Team, beschreibt die Details in seinem Blog.

Der Fehler ist nicht neu. Die Entwickler mussten bereits 2008 und 2010 nachbessern. Jetzt stellte sich jedoch heraus, dass man die getroffenen Schutzmaßnahmen umgehen kann. Die Versionen 2.0.0 bis 2.3.1 sind verwundbar. Das am Sonntag veröffentlichte Update auf Version 2.3.1.2 schafft Abhilfe.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE