Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.
Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime() .exec() para executar um comando arbitrário, caso uma ação vulnerável tenha existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.
Fonte: Under-Linux
Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime() .exec() para executar um comando arbitrário, caso uma ação vulnerável tenha existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.
Fonte: Under-Linux
Nenhum comentário:
Postar um comentário