اصلاحیه‌هایی در Apache Struts

به گزارش اِی وی نیوز از مرکز ماهر، دو ماه پس از اصلاح آسیب‌پذیری‌های حیاتی در Apache Struts که یک فریم ورک مشهور متن‌باز برای توسعه برنامه‌های تحت وب مبتنی بر جاوا است، VMWare یک اصلاحیه امنیتی برای ترمیم‌هایی در محصول vCenter Operations Management Suite خود عرضه کرده است، ولی به نظر می‌رسد که همچنان یک اصلاحیه دیگر باقی مانده باشد.
vCenter Operations Management Suite می‌تواند برای مانیتور کردن و مدیریت کارآیی و بازدهی، ظرفیت و پیکربندی زیرساخت مجازی به کار رود. این محصول در برخی از ویژگی‌های خود به Struts وابسته است.
روز سه‌شنبه و همزمان با عرضه vCenter Operations Management Suite (vCOps) نسخه ۵٫۸٫۲، VMware در راهنمایی امنیتی خود نوشت که کتابخانه Apache Struts به نسخه ۲٫۳٫۱۶٫۲ به‌روز رسانی شده است تا چندین مسأله امنیتی را برطرف کند.
Apache Struts 2.3.16.2 یک به‌روز رسانی اورژانسی بود که در ۲۴ آوریل عرضه شده بود. این به‌روز رسانی پس از آن عرضه شد که مشخص گردید ترمیم ارائه شده در Struts 2.3.16.1 برای یک آسیب‌پذیری اجرای کد از راه دور، کافی نبوده است و می‌تواند دور زده شود.
این مسأله به عنوان یک آسیب‌پذیری جداگانه و با شناسه CVE-2014-0112 مطرح شد و از آسیب‌پذیری اصلی با شناسه CVE-2014-0094 جدا گردید.
vCOps 5.8.2 حاوی اصلاحیه‌ای برای یک آسیب‌پذیری انکار سرویس با شناسه CVE-2014-0050 بود که بدواً در Struts 2.3.16.1 اصلاح شده بود.
VMware در راهنمایی امنیتی خود نوشت که vCOps  تحت تأثیر دو آسیب‌پذیری CVE-2014-0112 و CVE-2014-0050 قرار دارد. سوء استفاده از آسیب‌پذیری CVE-2014-0112 می‌تواند منجر به اجرای کد از راه دور بدون نیاز به احراز هویت گردد.
به کاربران نسخه‌های قدیمی‌تر vCOps 5.7.x توصیه می‌شود که محصول خود را به vCOps 5.8.2 ارتقاء داده یا اینکه به طور دستیگردش کاری توضیح داده شده در مقاله‌ای در VMware را اعمال نمایند.
محصول دیگر VMare یعنی vCenter Orchestrator (VCO) نیز فقط تحت تأثیر آسیب‌پذیری انکار سرویس (CVE-2014-0050) قرار دارد، ولی هنوز اصلاحیه‌ای برای آن عرضه نشده است.
توسعه دهندگان Struts پس از کشف این موضوع که اصلاحیه پیشین آنها تمامی سوء استفاده‌های ممکن را مسدود نمی‌کند، ترمیم مجدد خود را برای CVE-2014-0094 و CVE-2014-0112 در Struts 2.3.16.3 جای دادند که در ۳ می عرضه شد.
این ترمیم جدید، یک آسیب‌پذیری با ریسک متوسط را پوشش می‌داد که می‌تواند به مهاجمان اجازه دهد وضعیت درونی سشن‌ها و درخواست‌ها را دستکاری کنند. این آسیب‌پذیری با شناسه CVE-2014-0116 شناسایی می‌گردد.
از آنجایی که vCOps تحت تأثیر CVE-2014-0094 و CVE-2014-0112 قرار دارد، احتمال می‌رود که تحت تأثیر CVE-2014-0116 نیز قرار داشته باشد، چرا که تمامی این آسیب‌پذیری‌ها از یک مسأله نشأت می‌گیرند. به هر حال راهنمایی امنیتی جدید VMware هیچ اشاره‌ای به CVE-2014-0116 یا Struts 2.2.16.3 نکرده است.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*