నవంబర్లో వెల్లడించిన Apache Struts 2లోని రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వం CVE ప్రచురణ తర్వాత దాదాపు గరిష్ట తీవ్రత రేటింగ్ను కలిగి ఉందని ఇప్పుడు మనకు తెలుసు.
బుధవారం CVEని ప్రచురించిన నేషనల్ వల్నరబిలిటీ డేటాబేస్ (NVD) ప్రకారం, Apache CVSSv4 ఫ్రేమ్వర్క్ని ఉపయోగించి CVE-2024-53677 a 9.5 స్కోర్ చేసింది, అయితే Tenable CVSSv3ని ఉపయోగించి 9.8 స్కోర్ చేసింది – మీ ఎంపిక చేసుకోండి.
సిస్టమ్ గోప్యత, సమగ్రత మరియు లభ్యతపై అధిక ప్రభావంతో పాటు ఎటువంటి అధికారాలు అవసరం లేకుండా రిమోట్ దాడి చేసేవారు దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చని పరిగణనలోకి తీసుకుంటే, కస్టమర్లను సురక్షిత సంస్కరణకు అప్గ్రేడ్ చేయడానికి అపాచీ ఫౌండేషన్ అత్యంత రసవంతమైన వివరాలను నిలిపివేసి ఉండవచ్చు ( స్ట్రట్స్ 6.4.0 లేదా అంతకంటే ఎక్కువ).
స్ట్రట్స్ బగ్ లింక్ చేయబడినందున “పూర్తిగా నివారించదగినది” ఈక్విఫాక్స్ ఉల్లంఘన 2017 లో, ఇది సురక్షితమైన వైపుకు అర్ధమే.
CVE-2024-53677కి ప్రత్యామ్నాయం కూడా అందుబాటులో లేదు. ఇది పాచ్ లేదా ఏమీ లేని పరిస్థితి.
లోపాన్ని వివరిస్తూ, అపాచీ దానిలో చెప్పారు సలహా: “ఎనేబుల్ చేయడానికి దాడి చేసే వ్యక్తి ఫైల్ అప్లోడ్ పారామితులను మార్చగలడు దాటుతున్న మార్గాలు మరియు కొన్ని పరిస్థితులలో ఇది రిమోట్ కోడ్ అమలు చేయడానికి ఉపయోగించే హానికరమైన ఫైల్ని అప్లోడ్ చేయడానికి దారి తీస్తుంది.”
ప్రభావిత సంస్కరణల్లో ఇవి ఉన్నాయి:
-
2.0.0కి మద్దతు ఇస్తుంది… 2.3.37 (EOL)కి మద్దతు ఇస్తుంది
-
2.5.0కి మద్దతు ఇస్తుంది… 2.5.33కి మద్దతు ఇస్తుంది
-
6.0.0కి మద్దతు ఇస్తుంది… 6.3.0.2కి మద్దతు ఇస్తుంది
ముఖ్యంగా, 6.4.0లో నిలిపివేయబడిన మరియు 7.0.0లో పూర్తిగా తీసివేయబడిన స్ట్రట్స్ ఫైల్ అప్లోడ్ ఇంటర్సెప్టర్ కాంపోనెంట్ని ఉపయోగించని అప్లికేషన్లు ప్రభావితం కావు.
అప్డేట్ ప్రక్రియలో భాగంగా, వినియోగదారులు తమ ఫైల్ అప్లోడ్ మెకానిజమ్ను యాక్షన్ ఫైల్ అప్లోడ్ ఇంటర్సెప్టర్కి అప్డేట్ చేయాలని కూడా సలహా ఇచ్చారు, ఇది వెర్షన్ 6.4.0 నుండి ప్రారంభమయ్యే పేర్కొన్న కాంపోనెంట్ను భర్తీ చేసింది. కాన్ఫిగరేషన్ ఎంపికలు, భద్రత, పనితీరు మరియు ఇంటిగ్రేషన్ ఫీచర్లకు సంబంధించిన అనేక కారణాల వల్ల ఫైల్ అప్లోడ్ ఇంటర్సెప్టర్ నిలిపివేయబడింది.
ఈ ఇంజన్ని అప్డేట్ చేయడం సాధారణ నవీకరణను వర్తింపజేసినంత సులభం కాదు. యాక్షన్ ఫైల్ అప్లోడ్తో అనుకూలతను నిర్ధారించడానికి వినియోగదారులు వారి చర్యలను తిరిగి వ్రాయవలసి ఉంటుంది, కానీ ప్రత్యామ్నాయం ఆమోదయోగ్యం కాదు. అపాచీ పేర్కొన్నట్లుగా: “పాత ఫైల్ అప్లోడ్ మెకానిజంను ఉపయోగించడం వలన మీరు ఈ దాడికి గురవుతారు.”
వెబ్ అప్లికేషన్ డెవలపర్లు ఈ రోజుల్లో విభిన్న ఫ్రేమ్వర్క్లను ఎంచుకున్నప్పటికీ, స్ట్రట్స్ 2 విస్తృతంగా ప్రజాదరణ పొందింది. Sonatype చూసాక CVE-2023-50164 గత సంవత్సరం, CVE-2024-53677కి సమానమైన దుర్బలత్వం, స్వభావం మరియు క్లిష్టత రెండింటిలోనూ, గమనించారు స్ట్రట్స్ 2 నెలకు దాదాపు 300,000 డౌన్లోడ్ అభ్యర్థనలను అందుకుంది మరియు వాటిలో 80% క్లిష్టమైన బగ్ను కలిగి ఉన్నాయి.
CISA దాని తెలిసిన ఎక్స్ప్లోయిటెడ్ వల్నరబిలిటీస్ (KEV) కేటలాగ్లో ఎనిమిది Apache Struts దుర్బలత్వాలను జాబితా చేస్తుంది, వీటిలో ఏడు రిమోట్ కోడ్ అమలుకు దారి తీస్తుంది మరియు ఒకటి – CVE-2017-5638 (Equifaxకి) – ransomware దాడులలో ఉపయోగించబడుతుంది. ®
