Apache Struts insta a los usuarios a una actualizacion de la biblioteca

Apache Software Foundation reitera su recomendación a los usuarios de Struts para asegurarse de que sus instalaciones ejecuten una versión de la biblioteca Commons FileUpload más reciente que 1.3.2, para que no expongan sus proyectos a posibles ataques de ejecución remota de código

Las versiones de la biblioteca anteriores a 1.3.3 tienen un problema de deserialización con un objeto Java, que podría explotarse para escribir o copiar archivos en ubicaciones arbitrarias en el disco.

De acuerdo con el aviso original para la vulnerabilidad, "mientras que el Objeto se puede usar solo, este nuevo vector se puede integrar con ysoserial para cargar y ejecutar binarios en una sola llamada de deserialización".

A menos que haya un mecanismo diferente para agregar la capacidad de carga de archivos a las aplicaciones web creadas con Struts, el marco predeterminado es el componente Commons FileUpload.

La Fundación lanzó la primera alerta al respecto en marzo. Desde entonces, dos nuevas versiones de Struts 2.3.x están disponibles. El último de la rama es Struts 2.3.36, lanzado como una edición de "Disponibilidad general" el 15 de octubre. Al igual que las versiones que tuvo éxito, incluye una versión vulnerable de la biblioteca. Esto fue posible porque Common FileUpload se actualizó a 1.3.3 solo en Apache Struts 2.5.12, mientras que la rama 2.3.x continuó proporcionando versiones defectuosas.

La vulnerabilidad a la que se hace referencia en la alerta se descubrió hace dos años y recibió el identificador CVE-2016-1000031.

Se emitió una alerta similar el día antes de ayer, instando a los usuarios a actualizar la biblioteca para protegerse contra un error de seguridad de 2014 que podría causar una condición de denegación de servicio.

Para eliminar el riesgo, los usuarios tienen que reemplazar la variante de Commons FileUpload defectuosa manualmente. Esto se logra en aplicaciones ya implementadas al reemplazar la versión anterior en "WEB-INF / lib" con el último archivo JAR 'commons-fileupload' actualmente disponible para descargar.

Los proyectos de Struts 2 basados ​​en Maven, deben agregarse las siguientes dependencias:commons-fileupload, commons-fileupload 1.3.3

Johannes Ullrich, del SANS Internet Storm Center, llama la atención de los administradores para que revisen todos sus sistemas en busca de la biblioteca vulnerable y la eliminen.

"Struts no es el único que lo usa, y otros también pueden haber olvidado actualizarlo", dice en una publicación del blog.

Las versiones de Apache Struts de 2.5.12 y superiores no se ven afectadas porque ya tienen la versión más reciente de Commons FileUpload.

Fecha actualización el 2021-11-07. Fecha publicación el 2018-11-07. Categoría: apache Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
apache