Uwaga – w Apache Struts znajduje się groźna dziura

Specjaliści do sprawa bezpieczeństwa ostrzegają - hakerzy zaczęli ostatnio ze zdwojoną siłą wykorzystywać załataną niedawno podatność, którą wykryto niedawno w serwerowym oprogramowaniu Apache Struts.

Apache Struts to środowisko deweloperskie oparte na otwartym kodzie, służące do budowania webowych aplikacji Java. Aplikacje takie można bardzo często znaleźć na witrynach WWW obsługujących sektor korporacyjny, edukacyjny, finansowy, medialny czy handlowy.

Podatność odkryto we wchodzącym w skład Apache Struts komponencie noszącym nazwę Multipart. Jest to parser, czyli oprogramowanie wykonujące analizę składniową danych.

Zobacz również:

  • Najnowsza przeglądarka Chrome jest zgodna z komputerami zawierającymi procesory Arm

Zagrożenie (któreśmy przypisano oznaczenie CVE-2017-5638) jest opisane szczegółowo tutaj. Podatność jest grożna, ponieważ przeprowadzający atak haker może przejąć stuprocentową kontrolę nad serwerem. Co to oznacza, nie trzeba chyba nikomu tłumaczyć. Stąd apel do administratorów systemów IT, w których funkcjonuje oprogramowanie Apache Struts – należy wykonać jak najszybciej upgrade i przejść na jedną z dwóch wersji oprogramowania: 2.5.10.1 lub 2.3.32. Są one odpowiednio zabezpieczone przed tego typu atakami.

Jest jeszcze inne wyjście. Wielu dostawców zapór ogniowych zapewniających bezpieczeństwo aplikacjom opracowało reguły, które blokują ataki wykorzystujące podatność znajdującą się w komponencie Multipart. To rada kierowana oczywiście do tych, którzy posiadają takie zapory.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200