به‌روزرسانی آپاچی استراتس و غیرفعال شدن قابلیت‌های آسیب‌پذیر

موسسه خبری سایبربان:نسخه‌ی 2.3.15.2 از چارچوب توسعه‌ی آپاچی1 یک مشکل مرتبط با سازوکار ActionMapping را نیز برطرف نموده است.در ActionMapping هر عمل مانند یک شی‌ء خواندنی-نوشتنی مدل‌سازی می‌شود که نوشتن یک مقدار خاص در آن شی‌ء منجر به وقوع آن عمل می‌گردد.

 

به گزارش واحد خبری IDG، نسخه‌ی جدیدی از چارچوب توسعه‌ی آپاچی استراتس روز جمعه منتشر و منجر به اصلاح دو مشکلی شده که توسعه‌دهندگان به شدت نگران آن‌ها بوده‌اند.

آپاچی استراتس یک چارچوب متن‌باز محبوب برای توسعه‌ی برنامه‌های کاربردی مبتنی بر جاوا است که وظیفه‌ی تعمیر و نگه‌داری آن بر عهده‌ی بنیاد نرم‌افزاری آپاچی می‌باشد. استراتس 2.3.15.2 منجر به رفع آسیب‌پذیری‌هایی شده که توسعه‌دهندگان این نرم‌افزار برچسب مهم را برای آن‌ها انتخاب کرده بودند. 

سازوکاری که Dynamic Method Invocation یا به اختصار DMI نام دارد، به عنوان منبعی سرشار از آسیب‌پذیری‌های امنیتی احتمالی شناخته شده و به‌صورت پیش‌فرض در نسخه‌ی تازه‌ی استراتس غیرفعال شدهاین قابلیت در نسخه‌ی قبلی فعال بود، ولی به کاربران توصیه شده بود در صورت امکان آن را از کار بیاندازند. این کار با false نمودن گزینه‌ی struts.enable.DynamicMethodInvocation در struts.xml امکان‌پذیر است. 

در نتیجه‌ی این تغییر جدید، توسعه‌دهندگانی که وظیفه‌ی تعمیر و نگه‌داری از برنامه‌هایی را بر عهده دارند که به شدت به DMI وابسته‌اند و به‌‌روزرسانی به نسخه‌ی 2.3.15.2 استراتس را صورت داده‌اند ممکن است ملزم به صرف‌نظر کردن از آن‌ برنامه‌ها باشند.

این نسخه‌ی تازه همچنین به مشکل مطرح در مورد پیش‌وند «:action» در سازوکار ActionMapping نیز رسیدگی نموده است؛ از مشکل مذکور می‌توان برای ضمیمه کردن اطلاعات ناوبری2 به دکمه‌های یک فرم استفاده کرد.

در نسخه‌های قبل از 2.3.15.2 از استراتس 2، تحت شرایط خاصی می‌توان از این ویژگی برای دور زدن محدودیت‌‌های امنیتی کمک گرفت.تا زمانی که جمعیت کثیری از کاربران ارتقای لازم به این نسخه‌ی جدید را صورت ندهند جزئیات بیشتر درباره‌ی این مشکل بنا به صلاح‌دید امنیتی منتشر نخواهد شد.در گذشته سازوکار ActionMapping پیش‌فرض استراتس، منشاء آسیب‌پذیری‌های امنیتی بحرانی بوده است. نسخه‌ی 2.3.15.2 از این چارچوب که در ماه جولای منتشر شده کدی را برای اصلاح عمل‌کرد اطلاعات پیش‌وندی «:action» اضافه کرده و به‌طور کامل پشتیبانی از پیش‌وندهای «:redirect» و «:redirectAction» را کنار گذاشته است.توسعه‌دهندگان استراتس می‌گویند: «یک راه‌ جای‌گزین برای توسعه‌دهندگان این است که پیاده‌سازی ActionMapping را به شخصه انجام داده و در صورتی که نرم‌افزارها‌یشان نیاز چندانی به پشتیبانی از دکمه‌های متعدد ارسال3 ندارد، از به‌کارگیریِ پیش‌وند «:action» به‌طور کامل صرف‌نظر کنند.امسال حملات سمت سرویس‌گیرنده‌ی جاوا به کانون توجهات مبدل شده‌اند، اما برنامه‌های کاربردی تحت وب جاوا نظیر آن‌هایی که با استفاده از استراتس ایجاد می‌شوند نیز می‌توانند به یکی از اهداف بالقوه‌ی مهاجمان برای حمله مبدل شوند.

 

ماه گذشته محققان شرکت امنیتی ترندمیکرو هشدار دادند نفوذگران چینی در حال استفاده از ابزار خودکاری برای سوءاستفاده از آسیب‌پذیری‌های مطرح استراتس هستند تا به این طریق به کارگزارهایی راه پیدا کنند که میزبانی نرم‌افزارهای توسعه‌یافته توسط این بستر را بر عهده دارند.