به‌روز رسانی امنيتی Apache Struts

به‌روز رسانی امنيتی Apache Struts

تاریخ ایجاد

شماره: IRCNE2013091967
تاريخ:02/07/92

نسخه جديد چارچوب كاري آپاچي روز جمعه منتشر شد. در اين نسخه دو مشكل كه باعث نگراني توسعه دهندگان بود، برطرف شده است.
Apache Strutsيك چار چوب كاري منبع باز محبوب براي توسعه دهندگان برنامه هاي كاربري وب مبتني بر جاوا مي باشد و توسط بنياد نرم افزار آپاچي نگهداري مي شود. در نسخه تازه منتشر شده آپاچي مسائلي برطرف شده است كه نويسندگان نرم افزار آن ها را به عنوان مشكلات مهم برچسب گذاري كرده بودند.
مكانيزم Dynamic Method Invocation كه به احتمال زياد داراي آسيب پذيري هاي امنيتي مي باشد در نسخه جديد آپاچي به طور پيش فرض غيرفعال شده است. اين ويژگي در نسخه هاي پيشين فعال بوده است اما كاربران توصيه كرده اند كه در صورت امكان غيرفعال شود.
با وجود اين تغيير، نويسندگاني كه برنامه هاي كاربردي را نگهداري مي كنند كه مبتي بر DMI مي باشند در صورتي كه آپاچي را به نسخه 2.3.15.2 ارتقاء دهند، ممكن است لازم باشد كه برنامه ها را دوباره بسازند.
هم چنين در اين نسخه مساله اي در ارتباط با پيشوند "action:" برطرف شده است كه مي توانست در فرم ها براي الصاق اطلاعات به دكمه ها مورد استفاده قرار بگيرد. اين مساله در Struts نسخه 2 مي تواند تحت شرايط خاصي براي دور زدن محدوديت هاي امنيتي مورد سوء استفاده قرار بگيرد.
ماه گذشته، محققان شركت امنيتي ترند ميكرو هشدار دادند كه مهاجماني از چين در حال استفاده از يك كد سوء استفاده در برابر آسيب پذيري هاي Struts مي باشند.

برچسب‌ها