23.01.2012 14:30
Die Apache Foundation hat eine kritische Lücke in dem Java-Framework Struts 2 geschlossen, durch die ein Angreifer Code auf dem Server ausführen kann. Die Lücke tritt beim Parsing von URL-Parametern auf. Struts filtert vom Nutzer übergebene Parameter nicht korrekt, wodurch es Teile der Parameter unter Umständen als OGNL-Befehle (Object-Graph Navigation Language) ausführt. Die Details beschreibt der Entdecker der Lücke, Meder Kydyraliev vom Google Security Team, in seinem Blog.
Das Problem ist nicht neu. Bereits 2008 und 2010 mussten die Entwickler nachbessern. Es stellte sich jetzt jedoch heraus, dass man die getroffenen Schutzmaßnahmen umgehen kann. Verwundbar sind die Versionen 2.0.0 bis 2.3.1. Abhilfe schafft das am gestrigen Sonntag veröffentlichte Update auf Version 2.3.1.2.
(rei)
English Version: Critical hole in Apache Struts 2 closed
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1419291
Themen-Forum Serversicherheit
Mehr zum Thema Apache Software Foundation Sicherheitslücke
Google erklärt, wie Teilnehmern des Hackerwettbewerbs Pwnium der Ausbruch aus der Chrome-Sandbox gelang. 
Der Betreiber eines Zeus-Botnetzes steht Rede und Antwort zu Fragen nach seiner Person, seinem Umfeld und der Computer-Sicherheit. 
Alexander Gostev von Kaspersky Lab beschreibt die Vorgehensweise des Trojaners, der kürzlich mehr als eine halbe Million Mac-Rechner befallen hat. 
Wie jetzt bekannt wurde, schließen die kürzlich veröffentlichten Updates für die beiden Office-Pakete unter anderem eine kritische Lücke, durch die man sein System mit Schadcode infizieren kann. 
Apple hat in der Nacht zum Mittwoch eine Aktualisierung für sein Multimedia-Wiedergabesystem online gestellt, das einige Sicherheitslücken schließt. 
Die kostenpflichtigen Avira-Scanner legen derzeit reihenweise Rechner lahm. Wer das jüngste Update noch nicht installiert hat, sollte es auch nicht tun. 
