sábado, 28 de janeiro de 2012

Fechada Falha Crítica no Apache Struts 2

Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.

Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime() .exec() para executar um comando arbitrário, caso uma ação vulnerável tenha ​​existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.

Fonte: Under-Linux

Nenhum comentário:

Postar um comentário