Apache, daha önce çözüldüğüne inanılan, ancak ortaya çıktığında, tam olarak düzelmediğinden, çok sayıda popüler gereçler projesinde kritik bir güvenlik açığı düzeltti.
Bu nedenle, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), kullanıcılar ve yöneticileri en yeni, yamalı baskılar 2 versiyonlarına yükseltmeye çağırıyor.
Struts, Java Web Geliştiricileri tarafından Model-View-Controller (MVC) uygulamaları için kullanılan açık kaynaklı bir uygulama geliştirme çerçevesidir.
Bu hafta, DHS CISA, kuruluşları kritik bir OGNL enjeksiyonu kırılganlığını düzelten struts2 sürüm 2.5.30'a (veya daha büyük) yükseltmeye çağırıyor.
CVE-2021-31805 olarak izlenirken, kritik güvenlik açığı 2.0.0'a kadar 2.0.0'a kadar 2.0.0 sürümlerinde bulunur.
Güvenlik açığı, CVE-2020-17530 için uygulanan eksik bir düzeltmeden, ayrıca bir OGNL enjeksiyon hatası, 9.8 (eleştirel) şiddet derecesine sahip bir OGNL enjeksiyon hatası.
Nesne grafiği navigasyon dili (OGNL), Java dilinde kullanılan ifadelerin aralığını basitleştiren Java için açık kaynaklı bir ifade dilidir (EL). OGNL ayrıca geliştiricilerin daha kolay dizilerle çalışmasını sağlar. Ancak, güvenilmeyen veya ham kullanıcı girişine dayanan OGNL ifadelerinin bir güvenlik açısından problemli olabilir.
2020'de, Araştırmacılar ALVARO MUNOZ'ları GITHUB VE MASATO AEYE Security Laboratuvarı Anzai, belirli koşullar altında Struts2 2.0.0 - 2.5.25'te "çift değerlendirme" kusurunu bildirmiştir.
"Etiketin niteliklerinin bazıları, bir geliştirici, CVE-2020-17530'u kullanarak danışmanlığını kullanarak, bir geliştirici% {...} sözdizimini kullanarak zorunlu OGNL değerlendirmesini uyguladığı takdirde bir çift değerlendirmeyi yapabilir.
"Güvenilmeyen kullanıcı girişi üzerine zorunlu OGNL değerlendirmesini kullanmak uzaktan kod yürütülmesine ve güvenlik bozulmasına yol açabilir."
Her ne kadar Apache, Struts 2.5.26'daki 2020 hatayı çözmüştü, araştırmacı Chris McCown daha sonra uygulanan düzeltmenin eksik olduğunu keşfetti.
Bu nedenle, McCown'un "Çift Değerlendirme" sorununun, 2.5.26 ve üzeri Struts sürümlerinde yine de çoğaltılabileceğini ve CVE-2021-31805'in atamasına neden olabileceğini bildirdi.
Kullanıcıların, 2.5.30 veya daha büyük adımlara yükseltmeleri ve güvenilmeyen kullanıcı girişine dayanan etiketin özelliklerinde zorunlu OGNL değerlendirmesini kullanmaktan kaçınmaları önerilir.
Ek olarak, Apache, en iyi uygulamalar için güvenlik kılavuzunun ardından önerilmektedir.
Log4shell ve Spring4shell'in siber güvenliğine hakim olan Spring4shell gibi yüksek profilli güvenlik açıklarına sahip Java bileşenlerinin bir yılı oldu.
Şimdi bu iki yaşındaki bu iki yaşındaki kritik kusurların gerginliklerinde canlanmalarıyla, güvenlik profesyonelleri ve kuruluşların web sunucusu ortamlarını yakından incelemeleri gerekebilir.
Struts Framework, eleştirel güvenlik açıklarının öyküsü, özellikle de güvensiz OGNL kullanımından kaynaklanan uzaktan kod yürütme kusurları.
Başka bir Struts 2 OGNL enjeksiyon hatası (CVE-2017-5638) daha önce ransomware grupları da dahil olmak üzere tehdit aktörleri tarafından daha önce vahşi olarak sömürülmüştü.
Tüketici Kredi Raporlama Firması, Equifax daha sonra şirkette 2017 hack'in, o sırada sıfır gün olan CVE-2017-5638'in sömürüsünden kaynaklandığını doğruladı.
Equifax veri ihlali, 143 milyon kullanıcının verilerini bilgisayar korsanları, sosyal güvenlik numaralarını (SSNS), doğum tarihlerini, adresleri ve bazı durumlarda, insanların ehliyet numaralarını çaldığından ödün verdi.
Yaklaşık 209.000 Amerikan kullanıcısının kredi kartı numaraları da tehdit aktörleri tarafından da erişildi. Etkilenen birey sayısını açıklamadan, Equifax, ihlalin İngiliz ve Kanada sakinlerini bir miktar kapasitede etkilediğini doğruladı.
Microsoft, Spring4shell saldırılarını bulut hizmetleri arasında algılar
Trend mikro, aktif olarak sömürülen uzaktan kod yürütme hatası düzeltmeleri
Tüm Cihazlar İçin Kritik SonicWall Firewall Yama Yayınlanmadı
Western Digital Cloud OS güncellemesi, kritik güvenlik açığını giderir
Erişim: 7 güvenlik açıkları Darbe tıbbi ve iot cihazları
Kaynak: Bleeping Computer