นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่แบบ Zero-day ในเฟรมเวิร์กสำหรับเว็บแอพชื่อดังอย่าง Apache Struts ที่กำลังถูกอาชญากรนำไปใช้ประโยชน์ในวงกว้าง
Apache Struts เป็นเฟรมเวิร์กสำหรับ Model-View-Controller (MVC) แบบโอเพ่นซอร์สสำหรับสร้างเว็บแอพพลิเคชั่นจาวาที่ให้ลุคแบบโมเดิร์น และเริ่ดหรูเอเลแก๊นต์แบบที่พี่ลูกเกดชื่นชอบ รองรับทั้ง REST, AJAX, และ JSON
ซึ่งในบล็อกที่ตีแผ่ออกมาเมื่อต้นสัปดาห์นั้น บริษัทด้านระบบจัดการข้อมูลอันตรายแบบอัจฉริยะที่ทำงานให้ซิสโก้อย่าง Talos ได้กล่าวว่า ทีมงานพบการโจมตีช่องโหว่แบบ Zero-day (CVE-2017-5638) ใน Apache Struts ซึ่งเป็นช่องโหว่ที่ปล่อยให้รันโค้ดได้จากระยะไกลในส่วนของ Jakarta Multipart Parser ทำให้ผู้โจมตีรันคำสั่งอันตรายบนเซิร์ฟเวอร์ขณะที่อัพโหลดไฟล์ที่อยู่บน Parser ได้
ช่องโหว่นี้ทาง Apache ได้ออกแพ็ตช์มาแล้ว ดังนั้นถ้าคุณกำลังใช้งาน Multipart Parser ที่ต้องใช้ไฟล์แบบ Jakarta ใน Apache Struts 2 แล้ว แนะนำให้อัพเกรด Apache Struts ขึ้นเป็นเวอร์ชั่น 2.3.32 หรือ 2.5.10.1 ในทันที หรือเพื่อความมั่นใจมากยิ่งขึ้น ก็สามารถหันไปใช้ Multipart Parser ตัวอื่นได้ โดยดูรายละเอียดได้จาก
https://cwiki.apache.org/confluence/display/WW/File+Upload#FileUpload-AlternateLibraries
ที่มา : http://thehackernews.com/2017/03/apache-struts-framework.html
