В популярном решении Apache Struts найдена критическая уязвимость «нулевого дня».
В популярном решении Apache Struts найдена критическая уязвимость «нулевого дня». Она позволяет злоумышленникам, манипулируя параметрами ClassLoader, выполнять на сервере с запущенным программным обеспечением Struts произвольный код.
Apache Struts - инструмент для разработчиков, фреймворк с открытым исходным кодом, предназначенный для создания веб-приложений на основе Java. «Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации», - прокомментировали новость об уязвимости в ИБ-компании Digital Security.
Обновление Apache Struts 2.3.16.2, устраняющее уязвимость в компоненте ClassLoader, разработчики Apache Struts выпустили 24 апреля 2014 г. По информации CNews, фреймворк Apache Struts применяют в своих ИТ-системах, в частности, Альфа-банк и платежная система Qiwi. «Платежный сервис Qiwi применяет Apache Struts, так как данное решение удобно и признано специалистами как надежное. Об уязвимости стало известно в день опубликования новости, благодаря чему в тот же день, на основании рекомендаций вендора, были приняты все необходимые меры для полного предотвращения ее вредоносного воздействия на систему. В ходе данных действий процессингу Qiwi не был нанесен ущерб», — заявил Антон Куранда, директор по безопасности Qiwi.
Представители Альфа-банка на момент публикации этого материала не ответили на запрос CNews в отношении закрытия уязвимости в Apache Struts. Предполагалось, что уязвимость будет устранена в версии 2.3.16.1, но введенных улучшений оказалось недостаточно. В итоге разработчики опубликовали на своем сайте инструкцию для временного устранения бреши, пока не выйдет новый патч. Она заключалась в редактировании файла struts.xml.
Обновление 2.3.16.1 было выпущено в начале марта, но лишь в конце апреля стало ясно, что оно не обеспечивает должный уровень защиты. Тем, кто еще не успел обновиться до Apache Struts 2.3.16.2, аналитики рекомендуют сделать это безотлагательно.