شماره: IRCNE2014042178
تاريخ: 09/93/02
هفته گذشته موسسه نرم افزاري آپاچي چارچوب كاري محبوب Apache Struts را به روز رساني كرد. نسخه اصلاح شده 2.3.16.2 مي باشد كه حفاظت در برابر مساله دستكاري ClassLoader از طريق ويژگي ParametersInterceptor را سخت تر مي كند. به نظر مي رسيد كه اين مساله در نسخه 2.3.16.1 كه ماه مارس منتشر شد برطرف شده است.
روز پنج شنبه توسعه دهنده Struts به كاربران هشدار داد كه اصلاحيه هاي گذشته كامل نمي باشد و تا زمان انتشار نسخه جديد اين چارچوب كاري براي ارتقاء برنامه هاي كاربردي Java Web، از راهكارهاي مقابله موقتي استفاده نماييد.
اما روز بعد نسخه اصلاح شده اين چارچوب كاري منتشر شد. در نسخه 2.3.16.2 علاوه بر مشكل بالا، مشكل موجود در CookieInterceptor كه همان آسيب پذيري دستكاري ClassLoader مي باشد، نيز برطرف شده است.
مهاجمان در گذشته از آسيب پذيري هاي اجراي كد از راه دور در Apache Struts سوء استفاده مي كردند تا كنترل سرورهايي كه ميزبان برنامه هايي بر روي اين چارچوب كاري بودند را بدست آورند. محققان امنيتي از شركت ترند ميكرو در ماه اوت گزارش دادند كه هكرهاي چيني ابزار خودكاري را طراحي كرده اند كه مي تواند از آسيب پذيري هاي شناخته شده Struts سوء استفاده نمايد.
به علت علاقه مهاجمان به آسيب پذيري هاي Struts، احتمال خطر سوء استفاده از اين آسيب پذيري ها افزايش مي يابد در نتيجه به كاربران اكيدا توصيه مي شود تا در اسرع وقت Struts را به نسخه 2.3.16.2 ارتقاء دهند.
هم چنين محصولات شركت هاي ثالث نيز به دليل استفاده از Struts ممكن است تحت تاثير اين رخنه قرار داشته باشند كه بايد نسبت به اعمال به روز رساني ها اقدام نمايند. به عنوان مثال در گذشته شركت سيسكو برخي از محصولات خود را به دليل اصلاح آسيب پذيري هاي Struts، به روز رساني نمود.
- 7