Apache tugipostid
ASF-i kogukonna poolt hoitaval Confluence'i veebisaidil avaldatud nõuandes avastas Apass Struts 2.x koodi kaugkäivitamise haavatavuse ja töötas selle välja Yasser Zamani. Avastuse tegi Man Yue Mo Semmle Security uurimisrühmast. Haavatavusele on sellest ajast peale antud silt CVE-2018-11776. Leitakse, et see mõjutab Apache Strutsi versioone 2.3–2.3.34 ja 2.5–2.5.16 võimalike koodide kaugkäivitamise võimalustega.
See haavatavus tuleneb nimeruumita tulemuste kasutamisest, kui nende ülemistel toimingutel pole ühtegi nimeruumi või kui neil on metamärgi nimeruum. See haavatavus tuleneb ka URL-i siltide kasutamisest ilma määratud väärtuste ja toiminguteta.
Ajakirjas soovitatakse tööd teha nõuandev selle haavatavuse leevendamiseks, mis nõuab, et kasutajad tagaksid, et nimeruum oleks alati seadistatud kõigi aluseks olevate konfiguratsioonide kõigi määratletud tulemuste jaoks. Lisaks sellele peavad kasutajad tagama ka selle, et nad määravad alati URL-i siltidele väärtused ja toimingud ilma JSP-des ebaõnnestumata. Neid asju tuleb arvestada ja tagada, kui ülemist nimeruumi pole või see on metamärgina olemas.
Ehkki müüja on välja toonud, et see mõjutab versioone vahemikus 2.3 kuni 2.3.34 ja 2.5 kuni 2.5.16, usuvad nad ka, et selle haavatavuse oht võib olla ka toetamata Strutsi versioonidel. Apache Struts-i toetatud versioonide jaoks on müüja välja andnud Apache Struts-i versiooni 2.3.35 2.3.x versiooni haavatavuste jaoks ja see on välja andnud versiooni 2.5.17 versiooni 2.5.x haavatavuste jaoks. Kasutajatel palutakse üle minna vastavatele versioonidele, et vältida ekspluateerimise ohtu. Haavatavus on kriitiline ja seetõttu on vaja viivitamatut tegutsemist.
Lisaks nende võimalike kaugkoodide käivitamise haavatavuste parandamisele sisaldavad värskendused ka mõnda muud turvavärskendust, mis on kõik ühe korraga välja antud. Tagasiühildumisprobleeme pole oodata, kuna muud mitmesugused värskendused ei kuulu välja antud paketiversioonide hulka.
