Брешь в Apache Struts позволяет осуществить DoS-атаку
28.04.2014
Фреймворк задействуется в системах Qiwi и Альфа-банка.
В Java-фреймворке с открытым исходным кодом Apache Struts, используемом для создания многих web-страниц, найдена весьма опасная уязвимость. Об этом пишет пресс-служба компании Digital Security, добавляя, что его также часто используют в качестве части программ корпоративного уровня.
По данным компании, о бреши стало известно 24 апреля 2014 года, когда на ряде китайских форумов появились соответствующие сообщения. Тогда говорилось, что опасность уязвимости нулевого дня заключается в возможности осуществления DoS-атаки. Кроме того, она позволяет удаленно выполнить произвольный код при помощи манипуляции параметрами ClassLoader.
Эксперты подчеркивают, что уязвимость затрагивает все версии Apache Struts второй ветки, то есть 2.0.0–2.3.16.
"Добиться произвольного выполнения кода возможно через манипуляцию с подстановкой классов (изменение значения ClassLoader, используя специальные запросы к серверу). Сама атака возможна вследствие некорректного регулярного выражения, которое было добавлено в качестве защиты для закрытия уязвимости, найденной в декабре 2013", - следует из сообщения пресс-службы Digital Security.
Для того чтобы обезопасить систему от потенциального нападения, необходимо установить обновление Apache Struts.
Как сообщает CNews со ссылкой на директора по безопасности Qiwi Антона Куранда, в их системе применяется фреймворк Apache Struts. Его также задействуют в Альфа-банке. Однако представители последнего пока никоим образом не прокомментировали ситуацию.
