Już niedługo masowe remote code execution?

Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1.

Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1:

Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes?

As of now, actually no – that is what the EOL announcement essentially is about.

Czy projekty wykorzystujące Struts1 pozostają „na lodzie”? Nie całkiem, ponieważ developerzy projektu rekomendują np. przejście na wersję drugą biblioteki:

We as the Apache Struts Team can highly recommend investigating Struts 2 as a successor framework – it is modern, highly decoupled, feature rich, well maintained and successfully running in many mission critical projects in the wild.

Zapomnieli tylko dodać, że historycznie w Struts2 aż roiło się od błędów typu nieuwierzytelnione zdalne wykonanie kodu w OS. Poniżej lista podatności w Struts2 – raptem od lipca 2013:

Nie wygląda to więc zbyt optymistycznie pod względem bezpieczeństwa…

ms