Un problema en el proyecto Apache Struts que podría permitir a un atacante modificar estados internos de Struts, obliga a Apache publicar un boletín de seguridad.

Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada. 

 
Una vez más un problema no solucionado adecuadamente en una versión anterior obliga a publicar una actualización para su corrección. En esta ocasión se debe a la manipulación de ClassLoader a través de CookieInterceptor cuando está configurado para aceptar todas las cookies 
 
La exclusión de parámetros introducida en la versión 2.3.16.2 para bloquear el acceso al método getClass() no cubría todas las causas por lo que un atacante podría llegar a modificar el estado de la sesión, petición y más (en caso de que se use "*" en el parámetro cookiesName). 
 
Se ha publicado la versión 2.3.16.3 que soluciona el problema. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/05/actualizacion-de-seguridad-para-apache.html#comments
 
Más información:
 
Extends excluded params in CookieInterceptor to avoid manipulation of Struts’ internals
http://struts.apache.org/release/2.3.x/docs/s2-022.html

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar