Apache Struts: Exploit für kritische Lücke aufgetaucht
Admins von Webseiten, die Apache Struts nutzen, sollten dringendst prüfen, ob sie Updates für eine vor kurzem entdeckte Sicherheitslücke eingespielt haben.
Ein Exploit für eine kritische Sicherheitslücke in Apache Struts macht es einfach, mit Struts betriebene Webseiten zu kapern.
(Bild: Mazin Ahmed )
- Fabian A. Scherschel
Für die kritische Sicherheitslücke in Apache Struts, die vergangene Woche bekannt wurde, ist ein Exploit aufgetaucht. Damit wird es für Administratoren, die Struts im Einsatz haben, nun allerhöchste Zeit sicherzustellen, dass sie die entsprechenden Updates eingespielt haben. Die Erfahrung vergangener Struts-Lücken zeigt, dass Angreifer verwundbare Webseiten schnell finden und gerne angreifen. Unter anderem wurde der US-amerikanische Finanzdienstleister Equifax in der Vergangenheit auf spektakuläre Weise Opfer einer ungepatchten Struts-Lücke.
(Bild: Mazin Ahmed )
Installationen von Apache Struts sollten also umgehend auf die abgesicherten Versionen 2.3.35 oder 2.5.17 aktualisiert werden. Alle Informationen, wie das zu bewerkstelligen ist, finden sich in der Sicherheitsmeldung der Apache Software Foundation. Herauszufinden, ob nicht mehr im Support befindliche Struts-Versionen angreifbar sind, ist etwas komplizierter. Hinweise dazu hat die Sicherheitsfirma zusammengestellt, welche die Struts-Lücke CVE-2018-11776 entdeckt hatte.
Apache Struts ist ein quelloffenes Jave-Framework für das Entwickeln und Bereitstellen von Web-Applikationen. Die vergangene Woche veröffentlichte Sicherheitslücke ermöglicht es, Schadcode über Eingaben in Struts-Web-Apps auszuführen. Das Framework validiert Nutzereingaben nicht ausreichend, um dies zu verhindern. (fab)
