Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в Apache Struts позволяет удаленно выполнить код

Уязвимость в Apache Struts позволяет удаленно выполнить код

Уязвимость в Apache Struts позволяет удаленно выполнить код


06.09.2017



В популярном фреймворке для создания web-приложений Apache Struts обнаружена критическая уязвимость, позволяющая удаленному атакующему запускать на сервере вредоносный код. Проблема затрагивает все версии фреймворка, начиная с 2008 года (от Struts 2.5 до Struts 2.5.12).

 Уязвимость (CVE-2017-9805) существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. Если говорить конкретнее, плагин REST не способен обработать полезную нагрузку XML при должной десериализации. Таким образом, все web-приложения, где используется плагин REST, уязвимы к удаленным атакам.

 Как пояснили обнаружившие проблему исследователи компании LGTM, проэксплуатировать уязвимость невероятно легко. "Все, что вам нужно – это браузер", – отметил специалист LGTM Ман Юэ Мо (Man Yue Mo). Для осуществления атаки злоумышленник должен внедрить вредоносный XML-код в определенном формате. Если атака окажется удачной, хакер получит полный контроль над уязвимым сервером и, как результат, сможет проникнуть в другие системы, находящиеся в той же сети.

 Уязвимость исправлена в версии Apache Struts 2.5.13. Исследователи раскроют технические подробности о ней и опубликуют PoC-код эксплоита несколько позже, дав администраторам время на установку обновления.

 Apache Struts – фреймворк с открытым исходным кодом для создания Java EE web-приложений. Основывается на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC. Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года.

 

Securitylab