Zero-Day-Lücke in Apache Struts 2
Durch eine kleine Abwandlung einer bereits gepatchten Lücke können Angreifer wieder Code in den Server einschleusen.
- Ronald Eikenberg
In der aktuellen Version 2.3.16.1 des Java-Frameworks Apache Struts klafft offenbar eine kritische Sicherheitslücke, durch die Angreifer Code in den Server schleusen können. Die Schwachstelle ist mit einer älteren verwandt, die die Entwickler mit einem RegExp-Filter beseitigt hatten. Allerdings gibt es einen einfachen Weg an diesem Filter vorbei, wie der Sicherheitsforscher Alvaro Muñoz von HP Fortifiy berichtet.
Nach Informationen von Muñoz arbeitet das Security-Team von Struts bereits an einem Patch, der im Wesentlichen aus einem verschärften Filter besteht. Er schlägt Änderungen der Struts-Konfiguration vor, die betroffene Server schon jetzt absichern sollen. (rei)