Kritische Lücke in Apache Struts

Die Apache Foundation hat eine kritische Lücke in dem Java-Framework Struts 2 geschlossen, durch die ein Angreifer Code auf dem Server ausführen kann. Die Lücke tritt beim Parsing von URL-Parametern auf. Struts filtert vom Nutzer übergebene Parameter nicht korrekt, wodurch es Teile der Parameter unter Umständen als OGNL-Befehle (Object-Graph Navigation Language) ausführt. Die Details beschreibt der Entdecker der Lücke, Meder Kydyraliev vom Google Security Team, in seinem Blog.

Das Problem ist nicht neu. Bereits 2008 und 2010 mussten die Entwickler nachbessern. Es stellte sich jetzt jedoch heraus, dass man die getroffenen Schutzmaßnahmen umgehen kann. Verwundbar sind die Versionen 2.0.0 bis 2.3.1. Abhilfe schafft das am gestrigen Sonntag veröffentlichte Update auf Version 2.3.1.2. (rei)