Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Apache Struts consigue otra solución de seguridad importante
Hace una semana, los desarrolladores de Apache Struts liberaron una importante corrección de seguridad que fue seguida por otra falla altamente crítica para el entorno del desarrollo web. La vulnerabilidad corregida es una combinación de dos problemas.
Este entorno permite trabajar con mapeo de acciones (action mapping) basados en wildcards, y en el momento que una petición no coincide con una acción (porque no ha sido definida), el marco intenta cargar un archivo JSP basado en el nombre de la acción. Ese nombre puede ser tratado como una expresión OGNL (Object-Graph Navigation Language, lenguaje de expresiones de código abierto para Java) y a su vez permitiría a un atacante ejecutar código Java del lado del servidor.
Detalles del problema, con ejemplos, están disponibles en S2-015 security advisory. Se recomienda a los usuarios de Apache Struts actualizar a la versión 2.3.14.3, que ya está disponible para descargar. La actualización comprueba que los nombres de las acciones coincidan con la expresión regular [a-z]*[A-Z]*[0-9]*[.\-_!/]* (aunque los administradores pueden cambiar la expresión regular de los nombres autorizados a través de una constante en el archivo struts.xml), además los desarrolladores eliminaron la doble evaluación del método OgnlTextParser (método que evalúa el códgio OGNL interno). El error, al igual que el anterior, fue descubierto por Coverity, que publicó una entrada con los detalles del problema en su blog.
