Inicio / Alerta Temprana / Avisos Seguridad / Actualización de seguridad de Apache Struts

Actualización de seguridad de Apache Struts

Fecha de publicación: 
09/01/2012
Importancia: 
5 - Crítica
Recursos afectados: 
  • Apache Struts desde la versión 2.1.0 hasta la 2.3.1.
Descripción: 

La versión 2.3.1.1 soluciona 4 vulnerabilidades que permiten la ejecución de código Java arbitrario.

Solución: 

Instalar la nueva versión. Como medida paliativa se puede configurar el filtro "acceptedParamNames" de ParameterInterceptor y CookieInterceptor de modo más restrictivo:

acceptedParamNames = "[a-zA-Z0-9\.][()_']+";
Detalle: 

La nueva versión, la 2.3.1.1, del framework de desarrollo Java de aplicaciones web soluciona 4 vulnerabilidades que permiten evitar las medidas de seguridad xwork.MethodAccessor.denyMethodExecution, allowStaticMethodAccess o el filtro allowStaticMethodAccess y ejecutar código arbitrario mediante DMI.

Las vulnerabilidades se encuentran en los siguientes componentes:

  • ExceptionDelegator: ejecución de comandos remotos.
  • CookieInterceptor: ejecución de comandos remotos.
  • ParameterInterceptor: sobreescritura de archivos.
  • DebuggingInterceptor: ejecución de comandos remotos.

Impacto:

  • Ejecución de código Java malicioso.
  • Sobrescritura de archivos.