Apache Software Foundation está instando a los usuarios que ejecutan Apache Struts 2.3.x a actualizar la biblioteca Commons FileUpload para solucionar una vulnerabilidad grave que podría ser explotada por ataques de ejecución remota de código (RCE). Esta vulnerabilidad fue reportada por Tenable hace dos años.
Apache Struts 2 es un framework de aplicaciones web de código abierto ampliamente utilizado para desarrollar aplicaciones web Java EE. La biblioteca Commons FileUpload se usa para subir archivos a servlets y aplicaciones web.
La vulnerabilidad (CVE-2016-1000031) está presente en las versiones de Commons FileUpload anteriores a 1.3.3, y surgió debido a la inclusión de un objeto Java que se puede manipular para escribir o copiar archivos en el disco en ubicaciones arbitrarias.
La vulnerabilidad está presente en Apache Struts 2.3.x porque usa la versión vulnerable de la biblioteca (v1.3.2). «La biblioteca actualizada commons-fileupload es un reemplazo directo para la versión vulnerable. Las aplicaciones implementadas se pueden reforzar al reemplazar el archivo JAR commons-fileupload en WEB-INF/lib». El reemplazo debe hacerse manualmente. Y aquellos que ejecutan proyectos Struts basados en Maven deben agregar una dependencia específica.
Johannes Ullrich, Decano de Investigación en el Instituto de Tecnología SANS, también aconsejó a los usuarios afectados que verifiquen si tienen otras copias de la biblioteca vulnerable en sus sistemas. «Struts no es el único que lo usa, y otros también pueden haber olvidado actualizarlo».
Los que ejecutan Struts 2.5.x no se ven afectados porque incluye la versión parcheada de la biblioteca.
Los puntos críticos de Struts 2 deben repararse lo antes posible, para que no sean explotados y tengan consecuencias catastróficas. Por ejemplo, la violación masiva de Equifax fue el resultado de una falla de Apache Struts 2 y prácticas de parches laxas.
Fuente: blog.segu-info.com.ar