Apache Struts Sicherheits-Update deaktiviert anfällig-Funktion

2014-01-08  |  Comebuy News

Eine neue Version von Apache Struts Entwicklungsframework veröffentlicht am Freitag behebt zwei Probleme, die Entwickler sorgen hatten.

Behebt Comebuy Verwandte Artikel: Hackern, die gezielt Server mit Apache Struts-Anwendungen, Forscher SayApache Struts Sicherheitsupdate kritische VulnerabilitiesOpen Quellcode Libraries als voller VulnerabilitiesDo unsicher Open Source Komponenten bedrohen Ihre Apps?Apache warnt Web Server Admins des DoS-Angriffs-Tools

Apache Struts ist ein beliebter Open-Source-Framework zur Entwicklung von Java-basierten Web-Anwendungen und wird betreut von der Apache Software Foundation. Die neu veröffentlichten Stege 2.3.15.2 behebt Probleme, die die Software-Entwickler als wichtig gekennzeichnet hatte.

Ein Mechanismus namens der dynamischen Methode Aufruf (DMI), die bekanntermaßen hat, dass eine Quelle für mögliche Sicherheitslücken in die neue Struts-Version standardmäßig deaktiviert ist.

Das Feature wurde in früheren Versionen aktiviert, aber Benutzern wurden empfohlen, wenn möglich abschalten. Dies kann erfolgen, indem die struts.enable.DynamicMethodInvocation-Option auf false festgelegt, in struts.xml.

Aufgrund dieser neuesten Änderung müssen Entwickler, die Anwendungen zu verwalten, die stark auf DMI verlassen sie umgestalten, wenn sie ein auf Struts-Version 2.3.15.2 Upgrade.

Die neue Version behebt auch ein Problem mit der "Aktion:" Präfix der Aktion-Mapping-Mechanismus, der Navigationsinformationen an Schaltflächen innerhalb von Formen verwendet werden kann.

"In Struts 2 vor dem 2.3.15.2, unter bestimmten Bedingungen, die hiermit umgehen Sicherheitseinschränkungen," sagte die Struts-Entwickler in einem Sicherheitshinweis.

Weitere Informationen zu diesem Problem haben absichtlich aus Sicherheitsgründen zurückgehalten wurden, bis eine große Anzahl von Benutzern auf die neue Version zu aktualisieren.

Struts Standardmechanismus über die Zuordnung der Aktion wurde in der Vergangenheit eine Quelle der kritische Sicherheitslücken. Version 2.3.15.2 des Rahmens im Juli veröffentlicht hat Code zu bereinigen "Aktion:"-Präfix-Informationen und Unterstützung für vollständig entfernt die "Umleitung:" und "RedirectAction:" Präfixe.

Eine Alternative ist für Entwickler schreiben ihre eigene Aktion-Zuordnung-Implementierung und aufhören, die "Aktion:" Präfix vollständig, wenn ihre Anwendungen Unterstützung für mehrere Submit-Buttons nicht die Struts-Entwickler sagte.

Clientseitige Java Angriffe wurden im Rampenlicht in diesem Jahr können, aber Java Web-Anwendungen, einschließlich derjenigen mit Struts, erstellt auch ein Ziel für Hacker.

Im vergangenen Monat warnten Forscher aus Sicherheitsanbieter Trend Micro Angreifer aus China ein automatisiertes Tool verwenden, um bekannte Struts-Sicherheitslücken in Servern zu brechen, das Hosten von Anwendungen mit dem Framework entwickelt.

« Back