Apache Struts
V nasvetu, objavljenem na spletnem mestu Confluence, ki ga vzdržuje skupnost ASF, je Yasser Zamani odkril in obdelal ranljivost oddaljenega izvajanja kode v Apache Struts 2.x. Odkritje je izvedel Man Yue Mo iz raziskovalne skupine Semmle Security. Od takrat je ranljivost dobila oznako CVE-2018-11776. Ugotovljeno je, da vpliva na različice 2.3 do 2.3.34 in 2.5 do 2.5.16 na Apache Struts z možnostmi izkoriščanja oddaljenega izvajanja kode.
Ta ranljivost nastane, ko se uporabijo rezultati brez imenskega prostora, medtem ko njihova zgornja dejanja nimajo niti imenskega prostora niti imajo nadomestni imenski prostor. Ta ranljivost izhaja tudi iz uporabe oznak URL brez nastavljenih vrednosti in dejanj.
Za rešitev je predlagano v svetovalni za ublažitev te ranljivosti, ki od uporabnikov zahteva, da je imenski prostor vedno nastavljen za vse definirane rezultate v osnovnih konfiguracijah. Poleg tega morajo uporabniki zagotoviti tudi, da v svojih JSP-jih vedno določijo vrednosti in dejanja za oznake URL. Te stvari je treba upoštevati in zagotoviti, kadar zgornji imenski prostor ne obstaja ali obstaja kot nadomestni znak.
Čeprav je prodajalec poudaril, da to prizadene različice v območju od 2,3 do 2,3,34 in 2,5 do 2,5,16, pa tudi verjamejo, da so za to ranljivost lahko izpostavljene tudi nepodprte različice Struts. Za podprte različice Apache Struts je prodajalec izdal različico Apache Struts 2.3.35 za ranljivosti različice 2.3.x in je izdal različico 2.5.17 za ranljivosti različice 2.5.x. Uporabniki naj nadgradijo na ustrezne različice, da se izognejo tveganju izkoriščanja. Ranljivost je ocenjena kot kritična in zato je potrebno takojšnje ukrepanje.
Poleg samega odpravljanja morebitnih ranljivosti oddaljenega izvajanja kode posodobitve vsebujejo tudi nekaj drugih varnostnih posodobitev, ki so bile uvedene v enem zamahu. Težav s povratno združljivostjo ni pričakovati, saj druge razne posodobitve niso del izdanih različic paketov.
