Patch für Apache Struts schließt zwei Lücken

Unter anderem lassen sich serverseitige Objekte mittels präparierter OGNL-Befehle (Object-Graph Navigation Language) manipulieren. Die Entwickler stufen das Problem als kritisch ein.

06.11.2008, 11:37 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Apache Struts, ein freies Frameworks für Webanwendungen auf Basis von Java, weist zwei Schwachstellen auf. Eine Directory-Traversal-Schwachstelle in den Klassen "FilterDispatcher" und "DefaultStaticContentLoader" ermöglicht Angreifern, aus dem Serverpfad auszubrechen und andere Dateien als die erlaubten herunterzuladen. Über eine weitere Schwachstelle lassen sich serverseitige Objekte mittels präparierter OGNL-Befehle (Object-Graph Navigation Language) manipulieren. Die Entwickler stufen das Problem als kritisch ein.

Betroffen ist Apache Struts von Version 2.0.0 bis einschließlich 2.0.11.2. In Version 2.0.12 sind die Fehler behoben. Die Entwickler empfehlen dringend, das Update so schnell wie möglich zu installieren.

Siehe dazu auch:

Work ParameterInterceptors bypass allows OGNL statement execution, Fehlerbericht von Struts
Directory traversal vulnerability while serving static content, Fehlerbericht von Struts

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Patch für Apache Struts schließt zwei Lücken

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.