Cabecera-v2-web.jpg

Actualización de seguridad para Apache Struts


Apache ha confirmado dos vulnerabilidades en el proyecto Apache Struts que podrí­an permitir a un atacante remoto provocar condiciones de denegación de servicio o lograr ejecutar código arbitrario.

Struts.jpeg

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005.

El primer problema, considerado de gravedad alta (con CVE-2016-3087), reside en la posibilidad de pasar una expresión maliciosa que podrí­a emplearse para ejecutar código arbitrario en el lado del servidor al usar el plugin REST con Dynamic Method Invocation activo.

Por otra parte, con CVE-2016-3093, el lenguaje de expresiones OGNL (Object Graph Navigation Language) empleado por el framework de Apache Struts tiene una implementación inadecuada de la caché utilizada para almacenar las referencias a métodos. Es posible preparar un ataque de denegación de servicio que impida el acceso a un sitio web.

La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.20.3, 2.3.24.3, 2.3.28.1 o a Apache Struts 2.5; disponibles desde:
http://struts.apache.org/download.html#struts-ga



Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11