Apache Struts dòng 2.3 chứa lỗi RCE chưa vá suốt hai năm qua

Tập đoàn phần mềm Apache đang yêu cầu người dùng chạy Apache Struts dòng 2.3 chứa lỗi RCE phải cập nhật thư viện Commons FileUpload.

Vấn đề nằm ở đâu?

Apache Struts 2 là khung chương trình ứng dụng web nguồn mở phổ biến để phát triển ứng dụng web Java EE. Thư viện Commons FileUpload được sử dụng để thêm khả năng tải tập tin lên các ứng dụng web.

Apache Struts dòng 2.3 chứa lỗi RCE tên CVE-2016-1000031 tồn tại trong phiên bản Commons FileUpload trước 1.3.3 và xảy ra do một Java Object bị lợi dụng để viết hoặc sao chép tập tin ở vị trí tùy ý.

Vì thế Apache Struts dòng 2.3 chứa lỗi vì sử dụng thư viện chứa lỗi.

Apache Struts dòng 2.3 chứa lỗi RCE

Người dùng cần làm gì?

“Sản phẩm của bạn cũng bị ảnh hưởng nếu sử dụng cơ chế tải tập tin lên của Struts 2 vì Struts 2 sẽ mặc định sử dụng commons-fileupload”, tập đoàn Apache giải thích.

“Bản cập nhật chỉ là thay thế tạm thời cho phiên bản Apache Struts dòng 2.3 chứa lỗi RCE.”

Johannes Ullrich, Trưởng khoa nghiên cứu tại Viện Công nghệ SANS khuyên người dùng nên kiểm tra xem họ còn có các bản sao của thư viện chứa lỗi trong hệ thống của mình hay không.

Người dùng sử dụng Apache Struts dòng 2.5 không bị ảnh hưởng vì dòng này dùng thư viện đã được vá lỗi.

Apache Struts dòng 2.3 chứa lỗi RCE cần được vá càng sớm càng tốt tránh trường hợp bị khai thác và gây ra hậu quả lớn.

Helpnetsecurity