Foto: Getty
En nyligt opdaget en svaghed i et populært open source framework kunne sætte store virksomheder’ data på risikoen for tyveri eller sletning, ifølge forskere, der viste fejlen.
Den sårbarhed, først rapporteret af ZDNet, påvirker versioner af Apache Stivere RESTEN plugin, der går tilbage til 2008. Dette plugin bruges i mange web-applikationer, men hackere kan udnytte sårbarheden til at få adgang til en virksomheds server.
“Denne særlige sårbarhed gør det muligt for en fjernangriber at udføre vilkårlig kode på en server, der kører et program, der er bygget ved hjælp af Stivere ramme, og den populære RESTEN kommunikation plugin,” Bas van Schaik, en product manager for forskere fra lgtm skrev i et indlæg, der annoncerer en svaghed. “Organisationer som Lockheed Martin, IRS, Citigroup, Vodafone, Virgin Atlantic, Reader’ s Digest, Office Depot, og “SHOWTIME” er kendt for at have udviklet programmer, der bruger rammer.”
Apache Stivere lavet en patch til rådighed i går. Men van Schaik advarer om, at kort efter patch blev tilgængelig, arbejder udnytter sårbarheden opstod online—så er virksomhederne nødt til at patch så hurtigt som muligt.
Patching problemer med Stivere kan være en vanskelig opgave, Ars Technica rapporteret efter en anden kritisk Struts sårbarhed blev opdaget i Marts. En app kan være nødvendigt at blive genoversat helt snarere end blot en hurtig installationen af programrettelsen.
“Denne sårbarhed udgør en enorm risiko, fordi rammerne er typisk brugt til at designe offentligt tilgængelige web-applikationer. Struts er brugt i flere flyselskab, booking systemer samt en række finansielle institutioner, der bruger det i netbank-applikationer,” sagde lgtm sikkerhedsekspert Mand Yue Mo. “På toppen af, at det er utrolig let for en hacker at udnytte denne svaghed: alt hvad du behøver, er en webbrowser. Organisationer, der bruger Struts bør opgradere deres komponenter straks.”
[ZDNet/lgtm]