Menü
Alert!

Zero-Day-Lücke in Apache Struts 2

Durch eine kleine Abwandlung einer bereits gepatchten Lücke können Angreifer wieder Code in den Server einschleusen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 14 Beiträge
Von

In der aktuellen Version 2.3.16.1 des Java-Frameworks Apache Struts klafft offenbar eine kritische Sicherheitslücke, durch die Angreifer Code in den Server schleusen können. Die Schwachstelle ist mit einer älteren verwandt, die die Entwickler mit einem RegExp-Filter beseitigt hatten. Allerdings gibt es einen einfachen Weg an diesem Filter vorbei, wie der Sicherheitsforscher Alvaro Muñoz von HP Fortifiy berichtet.

Nach Informationen von Muñoz arbeitet das Security-Team von Struts bereits an einem Patch, der im Wesentlichen aus einem verschärften Filter besteht. Er schlägt Änderungen der Struts-Konfiguration vor, die betroffene Server schon jetzt absichern sollen. (rei)