بهروزرسانی امنیتی آپاچی
در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است که نویسندگان نرمافزار آنها را به عنوان مشکلات مهم برچسبگذاری کرده بودند. نسخه جدید چارچوب کاری آپاچی روز جمعه منتشر…
در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است که نویسندگان نرمافزار آنها را به عنوان مشکلات مهم برچسبگذاری کرده بودند.
نسخه جدید چارچوب کاری آپاچی روز جمعه منتشر شد. در این نسخه دو مشکل که باعث نگرانی توسعه دهندگان بود، برطرف شده است.
بر این اساس Apache Struts یک چارچوب کاری منبع باز محبوب برای توسعهدهندگان برنامههای کاربری وب مبتنی بر جاواست و توسط بنیاد نرم افزار آپاچی نگهداری میشود. در نسخه تازه منتشر شده آپاچی مسائلی برطرف شده است که نویسندگان نرمافزار آنها را به عنوان مشکلات مهم برچسب گذاری کرده بودند.
مکانیزم Dynamic Method Invocation که به احتمال زیاد دارای آسیب پذیریهای امنیتی است در نسخه جدید آپاچی به طور پیش فرض غیرفعال شده است. این ویژگی در نسخههای پیشین فعال بوده است اما کاربران توصیه کردهاند که درصورت امکان غیرفعال شود.
با وجود این تغییر، نویسندگانی که برنامههای کاربردی را نگهداری میکنند که مبتنی بر DMI هستند در صورتی که آپاچی را به نسخه 2.3.15.2 ارتقاء دهند، ممکن است لازم باشد که برنامهها را دوباره بسازند.
هم چنین در این نسخه مسالهای در ارتباط با پیشوند “action:” برطرف شده است که میتوانست در فرمها برای الصاق اطلاعات به دکمهها مورد استفاده قرار بگیرد. این مساله در Struts نسخه 2 می تواند تحت شرایط خاصی برای دور زدن محدودیتهای امنیتی مورد سوء استفاده قرار بگیرد.
ماه گذشته محققان شرکت امنیتی ترند میکرو هشدار دادند که مهاجمانی از چین در حال استفاده از یک کد سوء استفاده در برابر آسیب پذیریهای Struts هستند.