Apache Struts
ในคำแนะนำที่เผยแพร่บนเว็บไซต์ Confluence ที่ดูแลโดยชุมชน ASF ช่องโหว่การเรียกใช้รหัสระยะไกลใน Apache Struts 2.x ถูกค้นพบและอธิบายโดยละเอียดโดย Yasser Zamani การค้นพบนี้เกิดขึ้นโดย Man Yue Mo จากทีมวิจัย Semmle Security ช่องโหว่นี้ได้รับฉลาก CVE-2018-11776 พบว่ามีผลกับ Apache Struts เวอร์ชัน 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 ที่มีโอกาสใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกล
ช่องโหว่นี้เกิดจากเมื่อมีการใช้ผลลัพธ์ที่ไม่มีเนมสเปซในขณะที่การดำเนินการส่วนบนไม่มีเนมสเปซหรือมีเนมสเปซสัญลักษณ์แทน ช่องโหว่นี้ยังเกิดจากการใช้แท็ก URL โดยไม่กำหนดค่าและการดำเนินการ
แนะนำวิธีแก้ปัญหาในไฟล์ ที่ปรึกษา เพื่อลดช่องโหว่นี้ซึ่งต้องการให้ผู้ใช้แน่ใจว่าเนมสเปซถูกตั้งค่าไว้เสมอโดยไม่ล้มเหลวสำหรับผลลัพธ์ที่กำหนดไว้ทั้งหมดในคอนฟิกูเรชันพื้นฐาน นอกจากนี้ผู้ใช้ต้องตรวจสอบให้แน่ใจว่าพวกเขาตั้งค่าและการดำเนินการสำหรับแท็ก URL ตามลำดับโดยไม่ล้มเหลวใน JSPs สิ่งเหล่านี้จำเป็นต้องได้รับการพิจารณาและทำให้มั่นใจเมื่อไม่มีเนมสเปซด้านบนหรือมีอยู่เป็นตัวแทน
แม้ว่าผู้จำหน่ายจะระบุว่าเวอร์ชันในช่วง 2.3 ถึง 2.3.34 และ 2.5 ถึง 2.5.16 จะได้รับผลกระทบ แต่พวกเขาก็เชื่อว่าเวอร์ชัน Struts ที่ไม่รองรับอาจเสี่ยงต่อการเกิดช่องโหว่นี้เช่นกัน สำหรับเวอร์ชันที่รองรับของ Apache Struts ผู้จำหน่ายได้เปิดตัวเวอร์ชัน Apache Struts 2.3.35 สำหรับช่องโหว่เวอร์ชัน 2.3.x และได้เปิดตัวเวอร์ชันแล้ว 2.5.17 สำหรับช่องโหว่เวอร์ชัน 2.5.x ขอให้ผู้ใช้อัปเกรดเป็นเวอร์ชันที่เกี่ยวข้องเพื่อหลีกเลี่ยงความเสี่ยงจากการถูกใช้ประโยชน์ ช่องโหว่นี้ได้รับการจัดอันดับให้อยู่ในขั้นวิกฤตดังนั้นจึงขอให้ดำเนินการทันที
นอกเหนือจากการแก้ไขช่องโหว่การเรียกใช้รหัสระยะไกลที่เป็นไปได้เหล่านี้แล้วการอัปเดตยังมีการอัปเดตด้านความปลอดภัยอื่น ๆ อีกสองสามรายการที่ได้รับการเผยแพร่ทั้งหมดในคราวเดียว ไม่คาดว่าจะเกิดปัญหาความเข้ากันได้แบบย้อนหลังเนื่องจากการอัปเดตเบ็ดเตล็ดอื่น ๆ ไม่ได้เป็นส่วนหนึ่งของเวอร์ชันแพ็กเกจ
