apache-strutsRusiya banklarının istifadə etdiyi proqram təminatında kritik boşluq aşkarlanıb. Boşluq vasitəsilə serverdə ixtiyarı kodu kənardan işə salmaq mümkündür. Maliyyə təşkilatlarının bu boşluğu aradan qaldıra bildikləri sual altındadır.

Apache Struts populyar həllində 0 gün (zero day) kritik boşluğu aşkarlanıb. Onun vasitəsilə cinayətkarlar  ClassLoader parametrində dəyişiklik edərək, serverdə ixtiyari kodu işə sala bilirlər.

Apache Struts – framvork olub, Java əsasında veb əlavələr yaratmağa yardım edir.

“Framvork olan Apache Struts bu gün çox geniş yayılıb. O təkcə veb saytların deyil həm də korparativ əlavələrin yaradılmasında istifadə edilir. Bundan əlavə, Apache Struts çoxsaylı veb ödəmələrdə veb əlavələr və bank müştəri sistemlərində tətbiq olunur. O cümlədən bir sıra qabacıl Rusiya maliyyə idarələridə ondan istifadə edirlər”, –  CNews xəbər agentliyi Digital Security şirkətinə istinadən xəbər verir.

ClassLoaderdə olan boşluğu aradan qaldıran Apache Struts 2.3.16.2 yeniləməsi 24 aprel 2014-cü il tarixdə dərc olunub.

Güman edirlirdi ki, 2.3.16.1 versiyasında boşluq aradan qaldırılacaqdır. Ancaq bu belə olmadı. Sonra istehsalçı şirkət öz saytlarında yeniləmə dərc olunana kimi müvəqqəti olara struts.xml faylında dəyişiklik etməyi məsləhət görürdü.

Apache Struts 2.3.16.2 yeniləməsini etməyənləri mütəxəssislər dərhal icra etməyi məsləhət görürlər. Bundan əlavə securitylab.ru verilən xəbərə görə boşluq DoS hücumlar təşkil etməyə imkan yaradır.

Mənbə: www.cnews.ru