Mục lục bài viết || Contents of the article

    Apache Struts 2 là khung chương trình ứng dụng web nguồn mở phổ biến để phát triển ứng dụng web Java EE. Thư viện Commons FileUpload được sử dụng để thêm khả năng tải tập tin lên các ứng dụng web.

    Apache Struts dòng 2.3 chứa lỗi RCE tên CVE-2016-1000031 tồn tại trong phiên bản Commons FileUpload trước 1.3.3 và xảy ra do một Java Object bị lợi dụng để viết hoặc sao chép tập tin ở vị trí tùy ý.

    Vì thế Apache Struts dòng 2.3 chứa lỗi vì sử dụng thư viện chứa lỗi.

    Apache Struts dòng 2.3 chứa lỗi RCE

     

    “Sản phẩm của bạn cũng bị ảnh hưởng nếu sử dụng cơ chế tải tập tin lên của Struts 2 vì Struts 2 sẽ mặc định sử dụng commons-fileupload”, tập đoàn Apache giải thích.

    “Bản cập nhật chỉ là thay thế tạm thời cho phiên bản Apache Struts dòng 2.3 chứa lỗi RCE.”

    Johannes Ullrich, Trưởng khoa nghiên cứu tại Viện Công nghệ SANS khuyên người dùng nên kiểm tra xem họ còn có các bản sao của thư viện chứa lỗi trong hệ thống của mình hay không.

    Người dùng sử dụng Apache Struts dòng 2.5 không bị ảnh hưởng vì dòng này dùng thư viện đã được vá lỗi.

    Apache Struts dòng 2.3 chứa lỗi RCE cần được vá càng sớm càng tốt tránh trường hợp bị khai thác và gây ra hậu quả lớn.

    CẢNH BÁO: Tin tặc theo dõi Web và ăn cắp mật khẩu qua kênh phụ GPU

    Nguồn: Thehackernew

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...