Sicherheitspatch für Apache Struts unvollständig – neues Updates soll es richten

Sicherheitspatch für Apache Struts unvollständig – neues Updates soll es richten

Bestimmte Nutzereingaben könnten das Open-Source-Framework Apache Struts aus dem Tritt bringen und Schadcode auf Systeme lassen. Wie sich nun herausgestellt hat, konnte das bisherige Sicherheitsupdate das Problem nicht vollständig aus der Welt schaffen.

Durch den Einsatz einer erzwungenen Bewertung von Nutzereingaben durch Object-Graph Navigation Language (OGNL) kann es zu Fehlern bei der Einschätzung im Kontext bestimmter Syntax-Elemente kommen. Das kann in der Ausführung von Schadcode aus der Ferne enden.

Der vorangegangene Patch (CVE-2020-17530) konnte das Problem nicht komplett lösen. Eine Bewertung des Bedrohungsgrads der aktuellen Lücke (CVE-2021-31805) steht derzeit noch aus.

In einer Warnmeldung geben die Entwickler an, das Sicherheitsproblem jetzt in Struts 2.5.30 gelöst zu haben. Als Übergangslösung, um Systeme zu schützen, kann man auch auf eine OGNL-Bewertung verzichten.


(des)

Zur Startseite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert