Apache Struts
U savjetniku objavljenom na web mjestu Confluence koji održava ASF zajednica, ranjivost udaljenog izvršavanja koda u Apache Struts 2.x otkrio je i razradio Yasser Zamani. Otkriće je napravio Man Yue Mo iz istraživačkog tima Semmle Security. Ranjivost je od tada dobila oznaku CVE-2018-11776. Utvrđeno je da utječe na verzije 2.3 do 2.3.34 i 2.5 do 2.5.16 na Apache Struts s mogućim mogućnostima iskorištavanja daljinskog izvršavanja koda.
Ova ranjivost nastaje kada se koriste rezultati bez prostora imena, dok njihove gornje akcije nemaju niti prostor imena niti imaju prostor zamjenskih imena. Ova ranjivost također proizlazi iz upotrebe URL oznaka bez postavljenih vrijednosti i radnji.
Zaobilazno rješenje predloženo je u savjetodavni za ublažavanje ove ranjivosti koja zahtijeva da korisnici osiguraju da je prostor imena uvijek postavljen bez greške za sve definirane rezultate u temeljnim konfiguracijama. Uz to, korisnici također moraju osigurati da uvijek postavljaju vrijednosti i radnje za URL oznake, bez obzira na to što rade u svojim JSP-ovima. Te stvari treba razmotriti i osigurati kada gornji prostor imena ne postoji ili postoji kao zamjenski znak.
Iako je dobavljač istaknuo da to utječe na verzije u rasponu od 2,3 do 2,3,34 i 2,5 do 2,5,16, oni također vjeruju da nepodržane verzije Struts također mogu biti u opasnosti od ove ranjivosti. Za podržane verzije Apache Struts, dobavljač je objavio verziju Apache Struts 2.3.35 za ranjivosti verzije 2.3.x i izdao je verziju 2.5.17 za ranjivosti verzije 2.5.x. Korisnici se moraju nadograditi na odgovarajuće verzije kako bi se izbjegli rizika iskorištavanja. Ranjivost je rangirana kao kritična i stoga se zahtijeva hitna radnja.
Osim pukog popravljanja ovih mogućih ranjivosti za daljinsko izvršavanje koda, ažuriranja sadrže i nekoliko drugih sigurnosnih ažuriranja koja su u jednom trenutku pokrenuta. Poteškoće s kompatibilnošću unatrag ne očekuju se jer različita ažuriranja nisu dio izdanih verzija paketa.
