Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 7/10/2014
Sikkerhedsforskere hos HP har fundet et alvorligt sikkerhedshul i Apache Struts 1. Da Apache ikke har en rettelse klar, har HP udviklet et filter, der beskytter mod angreb på sårbarheden.Sårbarheden ligger i ClassLoader i applikationer skrevet med Struts 1. Den giver en angriber mulighed for at afvikle vilkårlige kommandoer.
HP har informeret Apache om sårbarheden. Der er også udviklet testversioner til at beskytte mod den. Men det er endnu ikke afgjort, om de bliver frigivet.
Derfor har HP nu selv udviklet et filter i form af en servlet som en midlertidig løsning.
Anbefaling
Udviklere af applikationer med Struts 1 bør anvende det nye filter, indtil Apache offentliggør nye versioner.