Nowa luka w Struts: Czy developerzy naprawdę się nauczyli?

Nowa luka w Struts: Czy developerzy naprawdę się nauczyli?

2017-09-11 16:29 Redakcja

Struts, popularna biblioteka znana wielu programistom Javy, znów staje się tematem dyskusji w świecie bezpieczeństwa. Ostatnio odkryto nową lukę w komponencie REST Plugin, która może prowadzić do zdalnego wykonania kodu (RCE) na serwerze. Podatność dotyczy wszystkich wersji Struts od 2008 roku.

Jak to działa? Wystarczy wysłać odpowiednio spreparowany plik XML do API REST, aby uzyskać dostęp do systemu. Problem wynika z automatycznej deserializacji XML-a przez komponent XStream, który jest używany w Struts2. Niestety, o podobnych podatnościach w XStream wiedziano już cztery lata temu, co budzi wątpliwości co do nauki i poprawy praktyk bezpieczeństwa wśród developerów.

Warto zauważyć, że problemy z RCE w takich frameworkach jak Struts czy Jenkins powtarzają się regularnie. Bezpieczeństwo powinno być priorytetem w procesie tworzenia oprogramowania, a każda nieprzemyślana decyzja może prowadzić do poważnych konsekwencji.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.