Apache ha confirmado que
un problema solucionado de forma incompleta en el proyecto Apache Struts podría
seguir aprovechándose para ejecutar código remoto en el servidor.
Struts es un entorno de trabajo de código
abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC
(Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en
un primer momento formaba parte del proyecto Jakarta, convirtiéndose en
proyecto independiente en 2005. En la actualidad la versión 2 es la única
soportada.
Detalles de la
actualización
- Con la versión Struts 2.3.16.1, se solucionó, aparentemente, un problema (con CVE-2014-0094) que permitía la manipulación de ClassLoader a través de parámetros. Sin embargo la corrección fue insuficiente.
- Se ha confirmado que un usuario remoto puede proporcionar ciertos valores específicos del parámetro 'class', que van hacia la clase ParametersInterceptor, para de esta forma evadir el filtrado y proporcionar al cargador de clases ClassLoader una clase arbitraría y ejecutar código arbitrario a través de sus métodos.
- Apache está trabajando en un parche para solucionar este nuevo problema, por el momento ha publicado las posibles contramedidas a aplicar para evitar posibles ataques, disponibles desde http://struts.apache.org/announce.html#a20140424
- Se espera que la solución definitiva esté disponible en los próximos dos días.
- 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation http://struts.apache.org/announce.html#a20140424
