Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 25/4/2014
Et sikkerhedshul i Struts 2 lader angribere afvikle programkode. Det skulle være lukket, men rettelsen er ikke effektiv.Sårbarheden kan blandt andet udnyttes på applikationsservere som Tomcat 8. Den består i, at angribere kan få adgang til ClassLoader og derved køre programkode.
Udviklerne forsøgte at lukke hullet for nogle måneder siden. Rettelsen gjorde det umuligt at kalde Classloader ved at taste class.Classloader i en URL.
Men sikkerhedsforskere har fundet en omvej: De skriver i stedet class['classLoader'], og det virker. Det skriver sikkerhedsforsker Alvaro Munoz.
Anbefaling
Indtil udviklerne af Apache Struts 2 retter fejlen, kan man beskytte sig mod den ved at rette i konfigurationsindstillingen excludeParams.