Критическая уязвимость в Apache Struts

3 месяца ago admin 0

Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. Apache Struts в основном распространён для создания корпоративных web-приложений. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяются по умолчанию).

Проблема пока остаётся неисправленной в дистрибутивах Debian, EPEL-7, UbuntuSUSE, Fedora и RHEL Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST.


Source: pirates.in.ua