Strok Apache
Dalam nasihat yang diterbitkan di laman web Confluence yang dikendalikan oleh komuniti ASF, kerentanan pelaksanaan kod jarak jauh di Apache Struts 2.x ditemui dan diuraikan oleh Yasser Zamani. Penemuan itu dibuat oleh Man Yue Mo dari pasukan penyelidikan Semmle Security. Kerentanan sejak itu diberi label CVE-2018-11776. Ia didapati mempengaruhi Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 dengan kemungkinan eksploitasi kod jarak jauh memanfaatkan peluang.
Kerentanan ini timbul dari ketika hasil tanpa ruang nama digunakan sementara tindakan atasnya tidak memiliki ruang nama baik atau memiliki ruang nama wildcard. Kerentanan ini juga timbul dari penggunaan tag URL tanpa nilai dan tindakan yang ditetapkan.
Penyelesaian disarankan di penasihat untuk mengurangkan kerentanan ini yang menuntut pengguna memastikan bahawa ruang nama selalu ditetapkan tanpa gagal untuk semua hasil yang ditentukan dalam konfigurasi yang mendasari. Selain itu, pengguna juga harus memastikan bahawa mereka selalu menetapkan nilai dan tindakan untuk teg URL masing-masing tanpa gagal dalam JSP mereka. Perkara-perkara ini perlu dipertimbangkan dan dipastikan apabila ruang nama atas tidak wujud atau wujud sebagai wildcard.
Walaupun vendor telah menggariskan bahawa versi dalam julat 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 terpengaruh, mereka juga percaya bahawa versi Struts yang tidak disokong juga mungkin menghadapi risiko kerentanan ini. Untuk versi Apache Struts yang disokong, vendor telah mengeluarkan versi Apache Struts 2.3.35 untuk kelemahan versi 2.3.x, dan telah mengeluarkan versi 2.5.17 untuk kerentanan versi 2.5.x Pengguna diminta untuk menaik taraf ke versi masing-masing untuk menghindari risiko eksploitasi. Kerentanan ini dianggap kritikal dan dengan itu tindakan segera diminta.
Selain memperbaiki kelemahan mudah pelaksanaan kod jarak jauh ini, kemas kini juga mengandungi beberapa kemas kini keselamatan lain yang telah diluncurkan sekaligus. Masalah keserasian ke belakang tidak dijangka kerana kemas kini lain-lain bukan merupakan sebahagian daripada versi pakej yang dikeluarkan.
