Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Już niedługo masowe remote code execution?
Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1.
Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1:
Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes?
As of now, actually no – that is what the EOL announcement essentially is about.
Czy projekty wykorzystujące Struts1 pozostają „na lodzie”? Nie całkiem, ponieważ developerzy projektu rekomendują np. przejście na wersję drugą biblioteki:
We as the Apache Struts Team can highly recommend investigating Struts 2 as a successor framework – it is modern, highly decoupled, feature rich, well maintained and successfully running in many mission critical projects in the wild.
Zapomnieli tylko dodać, że historycznie w Struts2 aż roiło się od błędów typu nieuwierzytelnione zdalne wykonanie kodu w OS. Poniżej lista podatności w Struts2 – raptem od lipca 2013:
Nie wygląda to więc zbyt optymistycznie pod względem bezpieczeństwa…
ms