Drei Schwachstellen in Java-Framework Struts beseitigt
Unter anderem kann beim Einsatz mit BeanUtils 1.7 ein Angreifer die Anwendung mit fehlerhaften Paketen zum Stillstand bringen.
Die Apache Foundation hat in der aktuellen Struts-Version 1.2.9 drei Schwachstellen behoben. Struts ist ein Framework fĂĽr Java-Anwendungen auf dem Webserver Apache. Durch eine Serveranfrage mit einem manipulierten org.apache.struts.taglib.html.Constants.CANCEL-Parameter lassen sich bestimmte Validierungsprozesse umgehen.
Außerdem filtert Struts in der Funktion LookupDispatchAction() vom Anwender übergebenen HTML-Code nicht aus und ist daher für Cross-Site-Scripting-Attacken anfällig. Wird das Framework zusammen mit BeanUtils 1.7 eingesetzt, kann ein Angreifer die Anwendung mit fehlerhaften Paketen sogar zum Stillstand bringen. Laut Bugzilla-Eintrag zu dem Fehler lassen sich unter Umständen über Formulare auch Parameter manipulieren.
Siehe dazu auch: (dab)
- Struts Version 1.2.9, Release Notes von Struts
