Een beveiligingsupdate die de Apache Software Foundation in maart voor een zero-day lek in Apache Struts 2 uitbracht blijkt niet te werken, zo hebben de ontwikkelaars laten weten. Apache Struts 2 is een open source webapplicatie framework voor het ontwikkelen van Java webapplicaties.
In maart verscheen er een update voor een kwetsbaarheid in het uploadmechanisme van Struts 2, waardoor een aanvaller op bepaalde applicatieservers willekeurige code kon uitvoeren. Ook het veroorzaken van een Denial of Service behoorde tot de mogelijkheden. "Helaas was de correctie niet voldoende", aldus de ontwikkelaars. Onderzoekers slaagden er namelijk in de aanpassingen die de update doorvoert, en waardoor het lek niet meer te misbruiken zou zijn, te omzeilen.
De Apache Software Foundation werkt op dit moment aan een nieuwe beveiligingsupdate. Tot die beschikbaar is krijgen beheerders het advies deze oplossing toe te passen. De update zou zeer binnenkort moeten verschijnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.