El día viernes fueron corregidos dos  problemas de seguridad que tenía el Framework Apache Strut mediante la liberación de una nueva versión. Uno de los frameworks más populares para el desarrollo de aplicaciones web basadas en Java es Apache Struts, el cual es de código abierto y es patrocinado por la fundación de software Apache. La versión más reciente es la 2.2.14, la cual ha dado solución a un par de problemas considerados como importantes por sus desarrolladores.

En la nueva versión de Strut deshabilitó de manera preestablecida un mecanismo llamado Método dinámico de invocación (DMI por sus siglas en inglés), el cual aparentemente propiciaba una de las vulnerabilidades de seguridad. Esta funcionalidad esta activada en las versiones anteriores y se recomienda a los usuarios apagarla mediante la configuración de la opción "false" en la  struts.enable.DynamicMethodInvocation que se encuentra en el archivo struts.xml.

Despúes de realizar esta configuración, los desarrolladores que tengan aplicaciones que dependan  de este mecanismo deberán actualizar a la versión más reciente para que las aplicaciones tengan el soporte adecuado.

Cabe mencionar que esta versión también corrige un problema con "action:", prefijo del mecanismo de mapeo de acciones que puede ser utilizado para adjuntar información de navegación con botones dentro de la forma.

"Bajo ciertas condiciones, en las versiones de Strut 2 anteriores a 2.3.15.2, se podían evadir las restricciones de seguridad”, comentaron los desarrolladores de Struts.

Algunos detalles acerca de estas vulnerabilidades se han ocultado por cuestiones de seguridad y serán reveladas cuando los usuarios del framework hayan actualizado sus sistemas.

El mecanismo de acción de asignación que contiene Struts de forma predeterminada, ha sido fuente de vulnerabilidades críticas de seguridad en el pasado, sin embargo, en la versión 2.3.15.2 de este marco de referencia publicada en julio, se agregó un código para corregir los métodos de "action:" así como información previa de soporte para remover completamente  “redirect:”” y “redirectAction:”.

Una solución alterna para los desarrolladores, es escribir e implementar su propio método de acción de asignación y dejar de usar el prefijo "action:", siempre que las aplicaciones no necesiten un soporte para múltiples botones de envío,  comentaron los desarrolladores de Struts.

Los ataques hacia Java del lado del cliente han sido un foco importante este año, pero las aplicaciones web basadas en Java, incluidos los creadores de Struts pueden ser un blanco para los atacantes.

Los investigadores proveedores de seguridad de Trend Micro advirtieron el mes pasado que los atacantes en china están haciendo uso de una herramienta automatizada para explotar vulnerabilidades de Struts, y de esta manera poder acceder en los servidores que alojan las aplicaciones desarrolladas con este framework.