Patch für Apache Struts schließt zwei Lücken
Unter anderem lassen sich serverseitige Objekte mittels präparierter OGNL-Befehle (Object-Graph Navigation Language) manipulieren. Die Entwickler stufen das Problem als kritisch ein.
Apache Struts, ein freies Frameworks für Webanwendungen auf Basis von Java, weist zwei Schwachstellen auf. Eine Directory-Traversal-Schwachstelle in den Klassen "FilterDispatcher" und "DefaultStaticContentLoader" ermöglicht Angreifern, aus dem Serverpfad auszubrechen und andere Dateien als die erlaubten herunterzuladen. Über eine weitere Schwachstelle lassen sich serverseitige Objekte mittels präparierter OGNL-Befehle (Object-Graph Navigation Language) manipulieren. Die Entwickler stufen das Problem als kritisch ein.
Betroffen ist Apache Struts von Version 2.0.0 bis einschließlich 2.0.11.2. In Version 2.0.12 sind die Fehler behoben. Die Entwickler empfehlen dringend, das Update so schnell wie möglich zu installieren.
Siehe dazu auch:
- Work ParameterInterceptors bypass allows OGNL statement execution, Fehlerbericht von Struts
- Directory traversal vulnerability while serving static content, Fehlerbericht von Struts
(dab)