Gefährlich

Hoch kritische Sicherheitslücke in Apache Struts geschlossen

Eine Schwachstelle in Apache Struts könnte sich für unerlaubte Systemzugriffe ausnutzen lassen.

Die Entwickler von Apache Struts haben eine Aktualisierung für Version 2.x zur Verfügung gestellt. Durch ein Sicherheitsloch könnten sich Angreifer unerlaubten Zugriff auf die betroffene Maschine ergaunern. Genau genommen lassen sich durch den Fehler gwisse Sicherheitsrichtlinien umgehen.

Schuld ist die ParameterInterceptor-Klasse. Mit speziell manipulierten OGNL-Ausrücken (Object-Graph Navigation Language) lässt sich die Schwachstelle ausnutzen. Die Sicherheitslücke ist als hoch kritisch eingestuft. Administratoren sollten zeitnah aktualisieren: struts.apache.org (jdo)