Falsche Versionsangaben: Mehrere Security Bulletins zu Apache Struts korrigiert

Struts-2-Anwender, die sich beim Updaten an offizielle Advisories halten, sollten erneut draufschauen – oder gleich zu Versionen ab 2.3.35 / 2.5.17 wechseln.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Falsche Versionsangaben: Mehre Security Bulletins zu Apache Struts korrigiert

(Bild: pixabay (Collage))

Lesezeit: 1 Min.

Bei einem Abgleich zwischen Apache-Struts-Releases und von Apache veröffentlichten Security Bulletins haben Sicherheitsforscher eine Vielzahl falscher Angaben zu verwundbaren beziehungsweise nicht verwundbaren Versionen des Open-Source-Frameworks entdeckt.

Apache hat die Angaben mittlerweile korrigiert und ein zusätzliches Bulletin veröffentlicht, das Korrekturen in insgesamt 15 früheren Veröffentlichungen auflistet. Anwender, die sich beim Updaten an fehlerhafte Angaben zu vermeintlich abgesicherten Versionen gehalten haben, laufen Gefahr, unwissentlich noch immer eine Version mit Sicherheitslücken zu betreiben. Dementsprechend ist es ratsam, noch einmal einen Blick auf die aktualisierten Angaben zu werfen.

Potenziell von den SicherheitslĂĽcken aus den falschen Advisories betroffen sind alle Struts-Versionen von 2.0.0 bis einschlieĂźlich 2.5.12.

Sowohl im neuen Struts-Bulletin als auch im Blogeintrag der Forscher von Synopsys' Cybersecurity Research Center (CyRC), die die Fehler entdeckt haben, findet sich ein Hinweis auf die einfachste Lösung aller Unstimmigkeiten: Ein Update des Web-Frameworks auf eine der von sämtlichen Sicherheitslücken befreiten Versionen ab 2.3.35 beziehungsweise ab 2.5.17 (die aktuellste ist 2.5.20).

Da sich die Versionsreihe 2.3.x laut einer im vergangenen Jahr veröffentlichten Ankündigung im End-of-Life-Status befindet, dürfte 2.5.20 allerdings die bessere Wahl sein.

Update 20.08.19, 13:38: Hinweis auf die aktuellste Version 2.5.20 eingebaut. (ovw)