Welcome!

By registering with us, you'll be able to discuss, share and private message with other members of our community.

SignUp Now!

اصلاحیه هایی در Apache Struts

اطلاعات موضوع

Kategori Adı اخبار هک و امنیت
Konu Başlığı اصلاحیه هایی در Apache Struts
نویسنده موضوع *مینا*
تاریخ شروع
پاسخ‌ها
بازدیدها
اولین پسند ارسالی
Son Mesaj Yazan *مینا*

*مینا*

مــدیـر بـازنشـسـتـه
تاریخ ثبت‌نام
Sep 12, 2013
ارسالی‌ها
3,063
پسندها
366
امتیازها
83
محل سکونت
زیر اسمون خدا
تخصص
ترانه سرا
دل نوشته
هر وقت دلت شکست خورده هاشو خودت جمع کن نزار هر نامردی منت دست زخمیشو روت بزاره
بهترین اخلاقم
بخشیدن
مدل گوشی
سیم کارت
تیم ایرانی مورد علاقه
تیم باشگاهی مورد علاقه

اعتبار :

[h=2]اصلاحیه هایی در Apache Struts[/h]
دو ماه پس از اصلاح آسیب پذیری های حیاتی در Apache Struts كه یك فریم ورك مشهور متن باز برای توسعه برنامه های تحت وب مبتنی بر جاوا است، VMWare یك اصلاحیه امنیتی برای ترمیم هایی در محصول vCenter Operations Management Suite خود عرضه كرده است، ولی به نظر می رسد كه همچنان یك اصلاحیه دیگر باقی مانده باشد.

vCenter Operations Management Suite می تواند برای مانیتور كردن و مدیریت كارآیی و بازدهی، ظرفیت و پیكربندی زیرساخت مجازی به كار رود. این محصول در برخی از ویژگی های خود به Struts وابسته است.

روز سه شنبه و همزمان با عرضه vCenter Operations Management Suite (vCOps) نسخه 5.8.2، VMware در راهنمایی امنیتی خود نوشت كه كتابخانه Apache Struts به نسخه 2.3.16.2 به روز رسانی شده است تا چندین مسأله امنیتی را برطرف كند.

Apache Struts 2.3.16.2 یك به روز رسانی اورژانسی بود كه در 24 آوریل عرضه شده بود. این به روز رسانی پس از آن عرضه شد كه مشخص گردید ترمیم ارائه شده در Struts 2.3.16.1 برای یك آسیب پذیری اجرای كد از راه دور، كافی نبوده است و می تواند دور زده شود.
این مسأله به عنوان یك آسیب پذیری جداگانه و با شناسه CVE-2014-0112 مطرح شد و از آسیب پذیری اصلی با شناسه CVE-2014-0094 جدا گردید.

vCOps 5.8.2 حاوی اصلاحیه ای برای یك آسیب پذیری انكار سرویس با شناسه CVE-2014-0050 بود كه بدواً در Struts 2.3.16.1 اصلاح شده بود.

VMware در راهنمایی امنیتی خود نوشت كه vCOps تحت تأثیر دو آسیب پذیری CVE-2014-0112 و CVE-2014-0050 قرار دارد. سوء استفاده از آسیب پذیری CVE-2014-0112 می تواند منجر به اجرای كد از راه دور بدون نیاز به احراز هویت گردد.
به كاربران نسخه های قدیمی تر vCOps 5.7.x توصیه می شود كه محصول خود را به vCOps 5.8.2 ارتقاء داده یا اینكه به طور دستی گردش كاری توضیح داده شده در مقاله ای در VMware را اعمال نمایند.

محصول دیگر VMare یعنی vCenter Orchestrator (VCO) نیز فقط تحت تأثیر آسیب پذیری انكار سرویس (CVE-2014-0050) قرار دارد، ولی هنوز اصلاحیه ای برای آن عرضه نشده است.
توسعه دهندگان Struts پس از كشف این موضوع كه اصلاحیه پیشین آنها تمامی سوء استفاده های ممكن را مسدود نمی كند، ترمیم مجدد خود را برای CVE-2014-0094 و CVE-2014-0112 در Struts 2.3.16.3 جای دادند كه در 3 می عرضه شد.

این ترمیم جدید، یك آسیب پذیری با ریسك متوسط را پوشش می داد كه می تواند به مهاجمان اجازه دهد وضعیت درونی سشن ها و درخواست ها را دستكاری كنند. این آسیب پذیری با شناسه CVE-2014-0116 شناسایی می گردد.

از آنجایی كه vCOps تحت تأثیر CVE-2014-0094 و CVE-2014-0112 قرار دارد، احتمال می رود كه تحت تأثیر CVE-2014-0116 نیز قرار داشته باشد، چرا كه تمامی این آسیب پذیری ها از یك مسأله نشأت می گیرند. به هر حال راهنمایی امنیتی جدید VMware هیچ اشاره ای به CVE-2014-0116 یا Struts 2.2.16.3 نكرده است.
 
بالا پایین