Desarrolladores de Apache Struts piden a usuarios actualizar biblioteca

El equipo detrás de Apache Struts ha solicitado encarecidamente a los usuarios instalar las actualizaciones necesarias para mitigar los riesgos generados por un antiguo bug

Apache Software Foundation ha publicado recientemente una alerta de seguridad donde reitera su recomendación a los usuarios de Apache Struts para asegurarse de que sus instalaciones ejecuten una versión de la biblioteca Commons FileUpload más reciente que la 1.3.2, pues de esta manera sus proyectos no serán vulnerables a posibles ataques de ejecución remota de código, reportan especialistas en forense digital.

Acorde a reportes de especialistas en seguridad informática y forense digital del Instituto Internacional de Seguridad Cibernética, las versiones de la biblioteca de Struts anteriores a 1.3.3 tienen un problema de seguridad con un objeto Java, el cual podría ser explotado para escribir o copiar archivos en ubicaciones arbitrarias en el disco.

“Mientras que el objeto Java se puede usar solo, este nuevo vector de ataque se puede integrar con ysoserial para cargar y ejecutar binarios en una sola llamada de deserialización”, menciona el aviso de seguridad original para la vulnerabilidad en cuestión.

A menos que haya un mecanismo diferente para agregar la capacidad de carga de archivos a las aplicaciones web creadas con Struts, el marco predeterminado es el componente Commons FileUpload.

Apache Software Foundation lanzó la primera alerta de seguridad al respecto el pasado mes de marzo. Desde entonces, dos nuevas versiones de Struts 2.3.x están disponibles. La más reciente es Struts 2.3.36, lanzado como una edición de “Disponibilidad General” el 15 de octubre. Al igual que otras versiones, 2.3.36 incluye una versión vulnerable de la biblioteca. Esto fue posible porque Common FileUpload se actualizó a 1.3.3 sólo en Apache Struts 2.5.12, mientras que la rama 2.3.x las vulnerabilidades continuaban presentes.

Cómo solucionar este problema

La vulnerabilidad a la que se hace referencia en la alerta fue descubierta hace dos años y recibió la clave de identificación CVE-2016-1000031. Recientemente fue emitida una alerta similar, instando a los usuarios a actualizar la biblioteca para protegerse contra este bug que podría causar una condición de denegación de servicio (DDoS).

Para eliminar el riesgo, los usuarios tienen que reemplazar la variante de Commons FileUpload defectuosa de forma manual, reportan expertos en forense digital. Esto se logra en aplicaciones ya implementadas al reemplazar la versión anterior en ‘WEB-INF/lib con el último archivo JAR ‘commons-fileupload’ actualmente disponible para descargar.

Los proyectos de Struts 2 basados en Maven, deben agregarse las siguientes dependencias:

commons-fileupload

commons-fileupload

1.3.3

Johannes Ullrich, especialista en ciberseguridad, invita a los administradores a que revisen todos sus sistemas en busca de la biblioteca vulnerable y la eliminen. “Struts no la única herramienta que usa esta biblioteca, y otros desarrolladores también podrían haber olvidado lanzar las actualizaciones correspondientes”, dice Ullrich.

Las versiones de Apache Struts de 2.5.12 y superiores no se ven afectadas porque ya cuentan con la versión más reciente de Commons FileUpload.