Брешь в Apache Struts позволяет осуществить DoS-атаку

В Java-фреймворке с открытым исходным кодом Apache Struts, используемом для создания многих web-страниц, найдена весьма опасная уязвимость. Его также часто используют в качестве части программ корпоративного уровня.

О бреши стало известно 24 апреля 2014 года, когда на ряде форумов  появились соответствующие сообщения. Тогда говорилось, что опасность уязвимости нулевого дня заключается в возможности осуществления DoS-атаки. Кроме того, она позволяет удаленно выполнить произвольный код при помощи манипуляции параметрами ClassLoader.

Эксперты подчеркивают, что уязвимость затрагивает все версии Apache Struts второй ветки, то есть 2.0.0–2.3.16.

Выполнение произвольного кода возможно при помощи манипуляции с подстановкой классов. Атаку можно осуществить только в результате некорректного регулярного выражения, добавленного в качестве защиты для закрытия уязвимости, обнаруженной в конце 2013 года. 

Для того чтобы обезопасить систему от потенциального нападения, необходимо установить обновление Apache Struts.

Как сообщает CNews со ссылкой на директора по безопасности Qiwi Антона Куранда, в их системе применяется фреймворк Apache Struts. Его также задействуют в Альфа-банке. Однако представители последнего пока никоим образом не прокомментировали ситуацию.