24.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Уязвимость в Apache Struts позволяет осуществить DoS-атаку

В Java-фреймворке с открытым исходным кодом Apache Struts найдена опасная уязвимость. О бреши стало известно 24 апреля 2014 года, когда на ряде китайских форумов появились соответствующие сообщения.

Тогда говорилось, что опасность 0day уязвимости заключается в возможности осуществления DoS-атаки. Кроме того, она позволяет удаленно выполнить произвольный код при помощи манипуляции параметрами ClassLoader. Эксперты подчеркивают, что уязвимость затрагивает все версии Apache Struts второй ветки, то есть 2.0.0–2.3.16.

«Добиться произвольного выполнения кода возможно через манипуляцию с подстановкой классов (изменение значения ClassLoader, используя специальные запросы к серверу). Сама атака возможна вследствие некорректного регулярного выражения, которое было добавлено в качестве защиты для закрытия уязвимости, найденной в декабре 2013», — следует из сообщения экспертов.