Apache Struts lukker alvorlige huller

Artiklen blev oprindeligt publiceret den 31/5/2013

Udviklerne af Java-frameworket Apache Struts har lukket flere alvorlige sikkerhedshuller.

Sårbarhederne giver angribere mulighed for at afvikle programkode på serveren.

Udviklerne prøvede først at lukke hullerne med Apache Struts 2.3.14.1. Men det viste sig, at den rettelse ikke var fuldstændig effektiv.

I stedet skal brugere af Struts opgradere til version 2.3.14.2.

Anbefaling
Opgrader til Struts 2.3.14.2.

Links

• A vulnerability introduced by forcing parameter inclusion in the URL and Anchor Tag allows remote command execution
• Struts 2 Remote Code Execution via OGNL Double Evaluation, blogindlæg fra Coverity