Hace una semana, los desarrolladores de Apache Struts liberaron una importante corrección de seguridad que fue seguida por otra para una falla altamente crítica para este entorno de desarrollo web. La vulnerabilidad corregida es una combinación de dos problemas.
Este entorno permite trabajar con mapeo de acciones (action mapping) basados en wildcards, y en el momento que una petición no coincide con una acción (porque no ha sido definida), el marco intenta cargar un archivo JSP basado en el nombre de la acción. Ese nombre puede ser tratado como una expresión OGNL (Object-Graph Navigation Language, lenguaje de expresiones de código abierto para Java) y a su vez permitiría a un atacante ejecutar código Java del lado del servidor.
Detalles del problema, con ejemplos, están disponibles en S2-015 security advisory. Se recomienda a los usuarios de Apache Struts actualizar a la versión 2.3.14.3, que ya está disponible para descargar. La actualización comprueba que los nombres de las acciones coincidan con la expresión regular **** (aunque los administradores pueden cambiar la expresión regular de los nombres autorizados a través de una constante en el archivo struts.xml), además los desarrolladores eliminaron la doble evaluación del método OgnlTextParser (método que evalúa el códgio OGNL interno). El error, al igual que el anterior, fue descubierto por Coverity, que publicó una entrada con los detalles del problema en su blog.
fuente
Este entorno permite trabajar con mapeo de acciones (action mapping) basados en wildcards, y en el momento que una petición no coincide con una acción (porque no ha sido definida), el marco intenta cargar un archivo JSP basado en el nombre de la acción. Ese nombre puede ser tratado como una expresión OGNL (Object-Graph Navigation Language, lenguaje de expresiones de código abierto para Java) y a su vez permitiría a un atacante ejecutar código Java del lado del servidor.
Detalles del problema, con ejemplos, están disponibles en S2-015 security advisory. Se recomienda a los usuarios de Apache Struts actualizar a la versión 2.3.14.3, que ya está disponible para descargar. La actualización comprueba que los nombres de las acciones coincidan con la expresión regular **** (aunque los administradores pueden cambiar la expresión regular de los nombres autorizados a través de una constante en el archivo struts.xml), además los desarrolladores eliminaron la doble evaluación del método OgnlTextParser (método que evalúa el códgio OGNL interno). El error, al igual que el anterior, fue descubierto por Coverity, que publicó una entrada con los detalles del problema en su blog.
fuente