Apache, popüler olan Struts projesinde daha önce ortaya çıkan zafiyetler için güncellemeler yayınlamıştı ancak güncellemelerin zafiyetleri gidermediği anlaşılınca yeni bir güncelleme yayınlandı. Bu nedenle, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kullanıcıları ve IT yöneticilerini Struts 2 sürümüne güncellemerini tavsiye etti.
Uzaktan kod yürütme (RCE) zafiyeti tam olarak kapatılamadı
CISA, kuruluşları kritik OGNL Injection güvenlik açığının giderildiği Struts2 sürüm 2.5.30’a (veya üstü) yükseltmelerini şiddetle tavsiye ediyor. CVE-2021-31805 olarak izlenen kritik güvenlik açığı, Struts 2’nin 2.0.0’dan 2.5.29’a kadar olan sürümlerinde bulunmakta.
2020 yılında GitHub’dan Alvaro Munoz ve Aeye Security Lab’den Masato Anzai, belirli koşullar altında Struts2’nin 2.0.0 – 2.5.25 sürümlerinde “double evaluation” hatası bildirmişti. “Güvenilmeyen kullanıcı girişinde zorunlu OGNL değerlendirmesi kullanmak, uzaktan kod yürütmesine neden olabilir.” denildi.
Apache, Struts 2.5.26’daki 2020 hatasını çözmüş olsa da, araştırmacı Chris McCown daha sonra uygulanan düzeltmenin eksik olduğunu keşfetti. Bu nedenle McCown, Apache’ye “double evaluation” sorununun Struts 2.5.26 ve üzeri sürümlerde yeniden üretilebileceğini ve bunun sonucunda CVE-2021-31805’in atanabileceğini bildirdi. Kullanıcılara, Struts 2.5.30 veya daha üst bir sürüme yükseltme yapmaları ve etiketin özniteliklerinde güvenilmeyen kullanıcı girdisine dayalı olarak zorunlu OGNL değerlendirmesini kullanmaktan kaçınmaları önerdi.
Kaynak: bleepingcomputer.com