Apache
ha confirmado que un problema solucionado de forma incompleta en el proyecto Apache
Struts podría seguir aprovechándose para ejecutar código remoto en el
servidor.
Struts es un entorno de trabajo
de código abierto para el desarrollo de aplicaciones web en Java EE bajo el
patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software
Foundation, en un primer momento formaba parte del proyecto Jakarta,
convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2
es la única soportada.
Con la versión Struts 2.3.16.1, se
solucionó, aparentemente, un problema (con CVE-2014-0094) que permitía la manipulación
de ClassLoader a través de parámetros. Sin embargo la corrección fue
insuficiente. Se ha confirmado que un usuario remoto puede proporcionar ciertos
valores específicos del parámetro 'class',
que van hacia la clase ParametersInterceptor, para de esta forma evadir el
filtrado y proporcionar al cargador de clases ClassLoader una clase arbitraría
y ejecutar código arbitrario a través de sus métodos.
Apache está trabajando en un
parche para solucionar este nuevo problema, por el momento ha publicado las
posibles contramedidas a aplicar para evitar posibles ataques. Disponibles en:
Se espera que la solución
definitiva esté disponible en los próximos dos días.
Más información:
24 April 2014 - Struts up to 2.3.16.1: Zero-Day
Exploit Mitigation
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario