Apache Struts
ĀCM kopienas uzturētajā Confluence vietnē publicētajā ieteikumā Apache Struts 2.x koda attālās izpildes ievainojamību atklāja un izstrādāja Yasser Zamani. Atklājumu veica Man Yue Mo no Semmle Security pētījumu grupas. Kopš tā laika ievainojamībai ir piešķirts apzīmējums CVE-2018-11776. Ir konstatēts, ka tas ietekmē Apache Struts versijas 2.3 līdz 2.3.34 un 2.5 līdz 2.5.16 ar iespējamām koda attālās izpildes izmantošanas iespējām.
Šī ievainojamība rodas, ja tiek izmantoti rezultāti bez nosaukumvietas, kamēr to augšējām darbībām nav nevienas nosaukumvietas vai tām ir aizstājējzīmju vieta. Šī ievainojamība rodas arī no URL tagu izmantošanas bez iestatītām vērtībām un darbībām.
Darbs apkārt ir ierosināts konsultatīvs lai mazinātu šo ievainojamību, kas lietotājiem prasa, lai nosaukumvieta vienmēr tiktu iestatīta bez šaubām visiem definētajiem rezultātiem pamata konfigurācijās. Papildus tam lietotājiem ir arī jānodrošina, lai viņi vienmēr iestatītu URL tagu vērtības un darbības attiecīgi bez neizdošanās savos JSP. Šīs lietas ir jāņem vērā un jānodrošina, ja augšējā nosaukumvieta nepastāv vai pastāv kā aizstājējzīme.
Lai gan pārdevējs ir norādījis, ka tiek ietekmētas versijas diapazonā no 2.3 līdz 2.3.34 un no 2.5 līdz 2.5.16, viņi arī uzskata, ka neatbalstītās Struts versijas var būt pakļautas arī šai ievainojamībai. Atbalstītajām Apache Struts versijām pārdevējs ir izlaidis Apache Struts versiju 2.3.35 par 2.3.x versijas ievainojamībām, un tā ir izlaidusi versiju 2.5.17 versijas 2.5.x ievainojamībām. Lietotāji tiek lūgti jaunināt uz attiecīgajām versijām, lai izvairītos no ekspluatācijas riska. Ievainojamība tiek vērtēta kā kritiska, un tāpēc ir nepieciešama tūlītēja rīcība.
Papildus tikai šo iespējamo attālās koda izpildes ievainojamību novēršanai atjauninājumi satur arī dažus citus drošības atjauninājumus, kas ir ieviesti vienā piegājienā. Nav paredzētas atgriezeniskas saderības problēmas, jo citi dažādi atjauninājumi nav daļa no izlaistajām pakotņu versijām.
