اصلاحيه‌هايی در Apache Struts

شماره: IRCNE2014062227
تاريخ: 7/4/93

دو ماه پس از اصلاح آسيب‌پذيري‌هاي حياتي در Apache Struts كه يك فريم ورك مشهور متن‌باز براي توسعه برنامه‌هاي تحت وب مبتني بر جاوا است، VMWare يك اصلاحيه امنيتي براي ترميم‌هايي در محصول vCenter Operations Management Suite خود عرضه كرده است، ولي به نظر مي‌رسد كه همچنان يك اصلاحيه ديگر باقي مانده باشد.
vCenter Operations Management Suite مي‌تواند براي مانيتور كردن و مديريت كارآيي و بازدهي، ظرفيت و پيكربندي زيرساخت مجازي به كار رود. اين محصول در برخي از ويژگي‌هاي خود به Struts وابسته است.
روز سه‌شنبه و همزمان با عرضه vCenter Operations Management Suite (vCOps) نسخه 5.8.2، VMware در راهنمايي امنيتي خود نوشت كه كتابخانه Apache Struts به نسخه 2.3.16.2 به‌روز رساني شده است تا چندين مسأله امنيتي را برطرف كند.
Apache Struts 2.3.16.2 يك به‌روز رساني اورژانسي بود كه در 24 آوريل عرضه شده بود. اين به‌روز رساني پس از آن عرضه شد كه مشخص گرديد ترميم ارائه شده در Struts 2.3.16.1 براي يك آسيب‌پذيري اجراي كد از راه دور، كافي نبوده است و مي‌تواند دور زده شود.
اين مسأله به عنوان يك آسيب‌پذيري جداگانه و با شناسه CVE-2014-0112 مطرح شد و از آسيب‌پذيري اصلي با شناسه CVE-2014-0094 جدا گرديد.
vCOps 5.8.2 حاوي اصلاحيه‌اي براي يك آسيب‌پذيري انكار سرويس با شناسه CVE-2014-0050 بود كه بدواً در Struts 2.3.16.1 اصلاح شده بود.
VMware در راهنمايي امنيتي خود نوشت كه vCOps تحت تأثير دو آسيب‌پذيري CVE-2014-0112 و CVE-2014-0050 قرار دارد. سوء استفاده از آسيب‌پذيري CVE-2014-0112 مي‌تواند منجر به اجراي كد از راه دور بدون نياز به احراز هويت گردد.
به كاربران نسخه‌هاي قديمي‌تر vCOps 5.7.x توصيه مي‌شود كه محصول خود را به vCOps 5.8.2 ارتقاء داده يا اينكه به طور دستي گردش كاري توضيح داده شده در مقاله‌اي در VMware را اعمال نمايند.
محصول ديگر VMare يعني vCenter Orchestrator (VCO) نيز فقط تحت تأثير آسيب‌پذيري انكار سرويس (CVE-2014-0050) قرار دارد، ولي هنوز اصلاحيه‌اي براي آن عرضه نشده است.
توسعه دهندگان Struts پس از كشف اين موضوع كه اصلاحيه پيشين آنها تمامي سوء استفاده‌هاي ممكن را مسدود نمي‌كند، ترميم مجدد خود را براي CVE-2014-0094 و CVE-2014-0112 در Struts 2.3.16.3 جاي دادند كه در 3 مي عرضه شد.
اين ترميم جديد، يك آسيب‌پذيري با ريسك متوسط را پوشش مي‌داد كه مي‌تواند به مهاجمان اجازه دهد وضعيت دروني سشن‌ها و درخواست‌ها را دستكاري كنند. اين آسيب‌پذيري با شناسه CVE-2014-0116 شناسايي مي‌گردد.
از آنجايي كه vCOps تحت تأثير CVE-2014-0094 و CVE-2014-0112 قرار دارد، احتمال مي‌رود كه تحت تأثير CVE-2014-0116 نيز قرار داشته باشد، چرا كه تمامي اين آسيب‌پذيري‌ها از يك مسأله نشأت مي‌گيرند. به هر حال راهنمايي امنيتي جديد VMware هيچ اشاره‌اي به CVE-2014-0116 يا Struts 2.2.16.3 نكرده است.