Foto: Getty
Eine neu entdeckte Sicherheitslücke in einem populären open-source-framework setzen konnte großen Firmen-Daten in Gefahr von Diebstahl oder Löschung, nach Ansicht der Forscher, die offenbart den Fehler.
Die Sicherheitsanfälligkeit zunächst berichtet ZDNet, betrifft die Versionen von Apache Struts REST plugin stammt aus 2008. Das plugin ist in vielen web-Anwendungen, aber Hacker könnten nutzen die Schwachstelle, um Zugriff auf einen Unternehmens-server.
“Diese Besondere Schwachstelle ermöglicht einem entfernten Angreifer beliebigen code auf jedem server läuft eine Anwendung, die mit dem Struts framework und den gängigen REST-Kommunikation-plugin,” Bas van Schaik, ein Produkt-manager für Forscher aus lgtm schrieb in einem Beitrag der Bekanntgabe der Schwachstelle. “Unternehmen wie Lockheed Martin, der IRS, Citigroup, Vodafone, Virgin Atlantic, Reader’ s Digest, Office Depot, und SHOWTIME bekannt sind, entwickelt zu haben, die Anwendungen mit dem framework.”
Apache Struts gemacht einen patch gestern. Aber van Schaik warnt, dass, kurz nachdem der patch verfügbar wurde, arbeiten exploits für die Schwachstelle aufgetaucht, die online—Unternehmen benötigen, um den patch so bald wie möglich.
Patchen Probleme mit Struts kann schwierig sein, die Ars Technica berichtet, nachdem ein weiterer Kritischer Streben Sicherheitslücke wurde im März. Eine app muss möglicherweise neu kompiliert werden komplett, anstatt einfach nur eine schnelle patch-installation.
“Diese Sicherheitsanfälligkeit stellt eine große Gefahr, weil das framework ist in der Regel verwendet für die Gestaltung von öffentlich zugänglichen web-Anwendungen. Struts verwendet wird, in mehreren airline-Buchungssysteme, sowie einer Reihe von Finanzinstituten, die es verwenden, in der internet-banking-Anwendungen”, sagte lgtm-Sicherheitsexperte Mann Yue Mo. “Hinzu kommt, dass, es ist unglaublich einfach für einen Angreifer, der zum ausnutzen dieser Schwäche: alles, was Sie brauchen, ist ein web-browser. Organisationen, die Streben sollten aktualisieren Sie Ihre Komponenten sofort.”
[ZDNet/lgtm]