Apache Struts
ASF topluluğu tarafından sağlanan Confluence web sitesinde yayınlanan bir danışma belgesinde, Apache Struts 2.x'de bir uzaktan kod yürütme güvenlik açığı keşfedildi ve Yasser Zamani tarafından ayrıntılı olarak açıklandı. Keşif, Semmle Güvenlik araştırma ekibinden Man Yue Mo tarafından yapıldı. Güvenlik açığına o zamandan beri CVE-2018-11776 etiketi verilmiştir. Olası uzaktan kod yürütme istismar fırsatları ile Apache Struts 2.3 - 2.3.34 ve 2.5 - 2.5.16 sürümlerini etkilediği bulunmuştur.
Bu güvenlik açığı, üst eylemlerinin herhangi bir ad alanına sahip olmadığı veya joker karakter ad alanına sahip olmadığı halde ad alanı olmayan sonuçların kullanılması nedeniyle ortaya çıkar. Bu güvenlik açığı, URL etiketlerinin ayarlanmış değerler ve eylemler olmadan kullanılmasından da kaynaklanmaktadır.
Bir çalışma önerilmektedir. tavsiye Kullanıcılardan, temel yapılandırmalardaki tüm tanımlanmış sonuçlar için ad alanının her zaman hatasız olarak ayarlanmasını talep eden bu güvenlik açığını azaltmak. Buna ek olarak, kullanıcılar, JSP'lerinde hata olmadan sırasıyla URL etiketleri için değerleri ve eylemleri her zaman ayarladıklarından emin olmalıdır. Üst ad alanı olmadığında veya joker karakter olarak var olduğunda, bu şeylerin dikkate alınması ve sağlanması gerekir.
Satıcı, 2.3 - 2.3.34 ve 2.5 - 2.5.16 aralığındaki sürümlerin etkilendiğini belirtmiş olsa da, desteklenmeyen Struts sürümlerinin de bu güvenlik açığı riski altında olabileceğine inanıyorlar. Satıcı, Apache Struts'ın desteklenen sürümleri için Apache Struts sürümünü yayınladı. 2.3.35 2.3.x sürüm güvenlik açıkları için ve 2.5.17 sürüm 2.5.x güvenlik açıkları için. Kullanıcılardan yararlanma riskinden kaçınmak için ilgili sürümlere yükseltmeleri istenir. Güvenlik açığı kritik olarak sınıflandırılır ve bu nedenle acil eylem istenir.
Bu olası uzaktan kod yürütme güvenlik açıklarının yalnızca düzeltilmesine ek olarak, güncellemeler aynı zamanda tümü tek seferde kullanıma sunulan birkaç başka güvenlik güncelleştirmesini de içerir. Diğer çeşitli güncellemeler yayımlanan paket sürümlerinin bir parçası olmadığından geriye dönük uyumluluk sorunları beklenmemektedir.
