Byla zveřejněna závažná zranitelnost CVE-2017–5638 v javovém frameworku Apache Struts. Zranitelný je Jakarta Multipart parser s možností vzdáleného spuštění kódu.
Oprava byla zveřejněna již v pondělí. Uživatelé mají neprodleně přejít na Struts 2.3.32 nebo 2.5.10.1. Po zveřejnění funkčního exploitu počet útoků roste.
(zdroj: arstechnica)
To by mne zajímalo, zda v Talos opravdu neznají rozdíl mezi Apache HTTP Serverem (který se běžně zkráceně nazývá Apache) napsaným v C, a Apache Struts, což je framework pro vývoj webových aplikací napsaný v Javě. A pokud ten rozdíl neznají, jak dokážou najít vůbec nějakou bezpečnostní chybu. A nebo jestli ten rozdíl znají, a „Apache“ (pod čímž si každý představí Apache HTTP Server) píšou do titulku a perexu schválně, jenom aby přilákali čtenáře.
Rozhodně není pravda že by si pod „Apache“ každý představil Apache HTTP Server - důkazem je například moje existence! Jirsákovo vyjadřování je jako již tradičně nepřesné až blábolivé...
Škoda, že jste zapomněl napsat, který konkrétní software si tedy představíte, když se píše o 0-day zranitelnosti v Apache. A když už chcete psát o přesnosti, mohl byste si zjistit, jak funguje vyjadřování v přirozeném jazyce – a že tedy vaše existence nijak nezpochybňuje můj výrok, protože jeho účelem rozhodně nebylo exaktně pojmenovat, kdo přesně si co představí pod pojmem „Apache“. Mimochodem, i Tacos opravili alespoň titulek svého zápisku.
Ten update v podstatě říká jenom to, že u Javy je zvykem distribuovat knihovny spolu s aplikací, takže opravu musí udělat autor té webové aplikace. Což nemusí být úplně jednoduché, pokud ta aplikace závisí na nějaké starší verzi knihovny a v aktuální verzi jsou nekompatibilní změny.
