Alert!

Neue Versionen von Apache Struts wehren sich gegen Schad-Code

Über eine Sicherheitslücke können Angreifer Server mit Apache Struts unter Umständen aus der Ferne attackieren und Code ausführen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beiträge
Netzwerkkabel

(Bild: dpa, Felix Kästle/Illustration)

Von
  • Dennis Schirrmacher

Neue Versionen des Open-Source-Frameworks Struts von Apache schließen eine mit dem Bedrohungsgrad hoch eingestufte Lücke. Von der Schwachstelle sind die Linux-, Unix- und Windows-Versionen 2.3.20 bis 2.3.28 bedroht. Die Versionen 2.3.20.3 und 2.3.24.3 sollen nicht betroffen sein.

Laut den Entwicklern können Angreifer die Lücke aber nur als Einfallstor nutzen, wenn Dynamic Method Invocation aktiviert ist. Um sich abzusichern, müssen Admins diese Option deaktivieren oder eine der abgesicherten Versionen 2.3.20.3, 2.3.24.3 oder 2.3.28.1 einspielen.

Ist die Option aktiv, können Angreifer über einen speziell gebauten Datensatz via method: prefix serverseitig Code ausführen, warnt Apache. (des)