Apache Struts
ASF-yhteisön ylläpitämässä Confluence-verkkosivustossa julkaistussa neuvonnassa Yasser Zamani löysi Apache Struts 2.x: n koodin etähaavoittuvuuden haavoittuvuuden ja kehitti sen. Löydön teki Man Yue Mo Semmle Security -tutkimusryhmästä. Haavoittuvuudelle on sittemmin annettu tunnus CVE-2018-11776. Sen havaitaan vaikuttavan Apache Struts -versioihin 2.3–2.3.34 ja 2.5–2.5.16 mahdollisten koodin etäsuorituskyvyn mahdollisuuksien avulla.
Tämä haavoittuvuus johtuu siitä, että tuloksia, joissa ei ole nimiavaruutta, käytetään, kun niiden ylemmissä toiminnoissa ei ole nimitilaa tai niillä on jokerimerkkejä. Tämä haavoittuvuus johtuu myös URL-tagien käytöstä ilman asetettuja arvoja ja toimintoja.
Työtä ympäri ehdotetaan neuvoa-antava lievittää tätä haavoittuvuutta, joka vaatii käyttäjiä varmistamaan, että nimitila asetetaan aina epäonnistumatta kaikille määritetyille tuloksille taustalla olevissa määrityksissä. Tämän lisäksi käyttäjien on myös varmistettava, että he asettavat aina URL-tageille arvot ja toiminnot vastaavasti JSP: ssä. Nämä asiat on otettava huomioon ja varmistettava, kun ylempää nimitilaa ei ole tai se on jokerimerkki.
Vaikka myyjä on todennut, että tämä vaikuttaa versioihin 2.3–2.3.34 ja 2.5–2.5.16, he uskovat myös, että Struts-versiot, joita ei tueta, voivat olla vaarassa myös tämän haavoittuvuuden. Toimittaja on julkaissut Apache Struts -tuen tuetuille versioille Apache Struts -version 2.3.35 2.3.x-version haavoittuvuuksia varten, ja se on julkaissut version 2.5.17 version 2.5.x haavoittuvuuksia varten. Käyttäjiä pyydetään päivittämään vastaaviin versioihin välttääkseen hyväksikäytön riski. Haavoittuvuus luokitellaan kriittiseksi ja siksi vaaditaan välittömiä toimia.
Näiden mahdollisten koodin etäsuorittamisen haavoittuvuuksien korjaamisen lisäksi päivitykset sisältävät myös muutaman muun tietoturvapäivityksen, jotka on otettu käyttöön kerralla. Taaksepäin yhteensopivuusongelmia ei odoteta, koska muut sekalaiset päivitykset eivät ole osa julkaistuja pakettiversioita.
