Alert!

Sicherheitspatch für Apache Struts unvollständig – neues Updates soll es richten

Aufgrund der Gefahr von möglichen Schadcode-Attacken sollten Admins ihre Apache-Struts-Systeme auf den aktuellen Stand bringen.

In Pocket speichern vorlesen Druckansicht

(Bild: AFANASEV IVAN/Shutterstock.com)

Lesezeit: 1 Min.

Bestimmte Nutzereingaben könnten das Open-Source-Framework Apache Struts aus dem Tritt bringen und Schadcode auf Systeme lassen. Wie sich nun herausgestellt hat, konnte das bisherige Sicherheitsupdate das Problem nicht vollständig aus der Welt schaffen.

Durch den Einsatz einer erzwungenen Bewertung von Nutzereingaben durch Object-Graph Navigation Language (OGNL) kann es zu Fehlern bei der Einschätzung im Kontext bestimmter Syntax-Elemente kommen. Das kann in der Ausführung von Schadcode aus der Ferne enden.

Der vorangegangene Patch (CVE-2020-17530) konnte das Problem nicht komplett lösen. Eine Bewertung des Bedrohungsgrads der aktuellen Lücke (CVE-2021-31805) steht derzeit noch aus.

In einer Warnmeldung geben die Entwickler an, das Sicherheitsproblem jetzt in Struts 2.5.30 gelöst zu haben. Als Übergangslösung, um Systeme zu schützen, kann man auch auf eine OGNL-Bewertung verzichten.

(des)