Jetzt patchen! Apache-Struts-Team erinnert an zwei Jahre alte Sicherheitslücke
Aufgrund einer gefährlichen Schwachstelle im Uploadmechanismus von manchen Struts-Versionen könnten Angreifer Schadcode auf Websites ausführen.
Wer Web-Projekte mit bis einschließlich Struts 2.3.36 baut, sollte sicherstellen, dass er aufgrund einer kritischen Lücke die aktuelle Version 1.3.3 der Upload-Bibliothek nutzt. Ansonsten könnten Angreifer über die Uploadfunktion Schadcode hochladen und unter bestimmten Voraussetzungen ausführen.
Davor warnt das Apache-Struts-Team nun erneut in einer Mitteilung. In der Sicherheitswarnung finden Entwickler Tipps, wie sie ihre mit einer verwundbaren Upload-Bibliothek ausgestatteten Web-Anwendungen absichern können. Struts 2.5.12 setzt den Entwicklern zufolge bereits auf die reparierte Upload-Bibliothek.
Admins sollten darüber hinaus ihre Systeme checken, ob die angreifbare Bibliothek noch woanders zum Einsatz kommt und sie aktualisieren. Die Lücke (CVE-2016-1000031) ist bereits seit zwei Jahren bekannt. Der Bedrohungsgrad gilt als "kritisch". (des)