آسیب پذیری

به روزرسانی کتابخانه FileUpload پلتفرم Apache Struts 2

کاربران پلتفرم Apache Struts باید کتابخانه‌ Commons FileUpload در Struts 2 را که توسط دو آسیب‌پذیری تحت تأثیر قرار می‌گیرد، به‌روزرسانی کنند. توسعه‌دهندگان پلتفرم Apache Struts به دو آسیب‌پذیری در کتابخانه Commons FileUpload در Struts2 اشاره‌کرده‌اند که این آسیب‌پذیری‌ها می‌توانند برای اجرای کد از راه دور و حملات DoS مورد سوءاستفاده قرار گیرند.

شرکت آپاچی اخیراً با صدور اعلامیه‌ای از کاربران Apache Struts 2.3.x خواست تا کامپوننت‌های Commons FileUpload را به‌روزرسانی کنند. Struts 2.3.x به‌طور پیش‌فرض از نسخه قبل از  ۱.۳.۳ Commons FileUpload استفاده می‌کند که آسیب‌پذیر است.

در نوامبر سال ۲۰۱۶ یک آسیب‌پذیری در Commons FileUpload  وصله شده است. این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه از راه دور شود. اگر پلتفرم Struts 2.3.x را نصب‌کرده‌اید یا وب‌سایت شما از مکانیسم آپلود فایل موجود در Struts استفاده کند در معرض آسیب‌پذیری قرار دارید که با نصب پلتفرم Struts 2.5.x وب‌سایت شما دیگر آسیب‌پذیر نخواهد بود. نسخه جدیدتر Struts شامل کامپوننت‌های وصله شده کتابخانه Commons FileUpload است.

کتابخانه Commons FileUpload در Struts2 برای بارگذاری فایل استفاده می‌شود. این کتابخانه تحت تأثیر آسیب‌پذیری بحرانی اجرای کد از راه دور قرار دارد که با شناسه CVE-2016-1000031 نمایه شده است. در توضیحات این آسیب‌پذیری آمده که یک آبجکت جاوا در کتابخانه Commons FileUpload آپاچی وجود دارد که می‌تواند دست‌کاری شود و فایل‌ها را درون دیسک در مکان‌های دلخواه کپی کند. این آسیب‌پذیری در نسخه‌های قبل از ۱.۳.۳ کتابخانه Commons FileUpload وجود دارد. علاوه بر این در سال ۲۰۱۴ نیز مشخص شد که نسخه ۱.۳.۱ از این کتابخانه در مقابل حمله DOS آسیب‌پذیر است و با شناسه CVE-2014-0050 نمایه شد. این آسیب‌پذیری با ارائه نسخه ۱.۳.۳ وصله شد.

تیم Apache Struts توصیه می‌کند تا هرچه سریع‌تر پلتفرم Struts 2.3.36  خود را ارتقا دهید تا از آخرین نسخه منتشرشده کتابخانه Commons FileUpload که در حال حاضر ۱.۳.۳ است، استفاده شود. این کار برای جلوگیری از حملات احتمالی DOS در وب‌سایت‌های عمومی و پربازدید، ضروری است.

 

منبع : Security Affairs

به روزرسانی کتابخانه FileUpload پلتفرم Apache Struts 2

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top