Menü
Alert!
Security

Neue Versionen von Apache Struts wehren sich gegen Schad-Code

Über eine Sicherheitslücke können Angreifer Server mit Apache Struts unter Umständen aus der Ferne attackieren und Code ausführen.

Von
vorlesen Drucken Kommentare lesen 13 Beiträge
Netzwerkkabel

(Bild: dpa, Felix Kästle/Illustration)

Neue Versionen des Open-Source-Frameworks Struts von Apache schließen eine mit dem Bedrohungsgrad hoch eingestufte Lücke. Von der Schwachstelle sind die Linux-, Unix- und Windows-Versionen 2.3.20 bis 2.3.28 bedroht. Die Versionen 2.3.20.3 und 2.3.24.3 sollen nicht betroffen sein.

Laut den Entwicklern können Angreifer die Lücke aber nur als Einfallstor nutzen, wenn Dynamic Method Invocation aktiviert ist. Um sich abzusichern, müssen Admins diese Option deaktivieren oder eine der abgesicherten Versionen 2.3.20.3, 2.3.24.3 oder 2.3.28.1 einspielen.

Ist die Option aktiv, können Angreifer über einen speziell gebauten Datensatz via method: prefix serverseitig Code ausführen, warnt Apache. (des)