Apache muss Struts erneut patchen
Gerade eine Woche ist seit dem bislang letzten Sicherheitsupdate vergangen, schon gibt es ein weiteres: Struts 2.3.14.3 behebt eine kritische Schwachstelle, ĂĽber die Code eingeschleust werden kann.
- Ronald Eikenberg
Gerade einmal eine Woche nach Veröffentlichung des bislang letzten Sicherheitsupdates muss die Apache Foundation das Java-Framework Struts erneut abdichten. Angreifer können unter bestimmten Umständen Code in den Server einschleusen und dort zur Ausführung bringen.
Das gelingt durch die Kombination zweier Bugs: Durch einen kann man Code in den Server einschleusen, da eine Benutzereingabe fälschlicherweise doppelt ausgewertet wird. Durch den anderen Bug lässt sich der eingeschleuste Code dann aktivieren.
Abhilfe schafft das Update auf Struts 2.3.14.3, zu dem die Entwickler dringend raten. Entdeckt hat die Schwachstelle die Sicherheitsfirma Coverity, in deren Blog weitere Details zu finden sind. (rei)