Wichtiges Sicherheitsupdate für Apache Struts

Das Update auf Version 2.3.14.2 des Java-Frameworks Apache Struts behebt gefährliche Schwachstellen, durch die ein Angreifer etwa mittels speziell präparierter HTTP-Requests Code den Server einschleusen kann. Den Lücken sind die beiden CVE-Nummern CVE-2013-2115, CVE-2013-1966 zugeordnet; die maximale Gefahrenstufe ist laut den Struts-Entwicklern "hochkritisch".

Details zu den Schwachstellen sowie ein Proof of Concept (PoC) finden sich in dem oben verlinkten Advisory.. Eigentlich sollte bereits das Update auf Struts 2.3.14.1 die Lücken schließen, allerdings hat es nicht alle möglichen Angriffswege verhindert. Alle älteren Versionen als 2.3.14.2 sind anfällig. Wer das Framework auf seinem Server einsetzt, sollte also umgehend sicherstellen, dass es auf dem aktuellen Stand ist

Update vom 5. Juni 2013, 13 Uhr: Der Link zum Coverity-Blog wurde entfernt, da der Blog-Eintrag ein anderes Sicherheitsproblem beschreibt. (rei)