అపాచీ స్ట్రట్స్
ASF సంఘం నిర్వహించే సంగమం వెబ్సైట్లో ప్రచురించిన సలహాలో, అపాచీ స్ట్రట్స్ 2.x లోని రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాన్ని యాసర్ జమాని కనుగొన్నారు మరియు వివరించారు. సెమ్లే సెక్యూరిటీ పరిశోధనా బృందానికి చెందిన మ్యాన్ యు మో ఈ ఆవిష్కరణ చేశారు. అప్పటి నుండి దుర్బలత్వానికి CVE-2018-11776 లేబుల్ ఇవ్వబడింది. రిమోట్ కోడ్ ఎగ్జిక్యూషన్ అవకాశాలను దోపిడీ చేయడంతో ఇది అపాచీ స్ట్రట్స్ వెర్షన్లు 2.3 నుండి 2.3.34 మరియు 2.5 నుండి 2.5.16 వరకు ప్రభావితమవుతుందని కనుగొనబడింది.
నేమ్స్పేస్ లేని ఫలితాలు ఉపయోగించినప్పుడు వాటి దుర్బలత్వం తలెత్తుతుంది, అయితే వాటి ఎగువ చర్యలకు నేమ్స్పేస్ ఉండదు లేదా వైల్డ్కార్డ్ నేమ్స్పేస్ ఉండదు. సెట్ విలువలు మరియు చర్యలు లేకుండా URL ట్యాగ్ల వాడకం నుండి కూడా ఈ దుర్బలత్వం పుడుతుంది.
చుట్టూ ఒక పని సూచించబడింది సలహా అంతర్లీన కాన్ఫిగరేషన్లలో నిర్వచించిన అన్ని ఫలితాల కోసం నేమ్స్పేస్ ఎల్లప్పుడూ విఫలం కాకుండా సెట్ చేయబడిందని వినియోగదారులు నిర్ధారించాల్సిన ఈ దుర్బలత్వాన్ని తగ్గించడానికి. దీనికి తోడు, వినియోగదారులు తమ JSP లలో విఫలం కాకుండా వరుసగా URL ట్యాగ్ల కోసం విలువలు మరియు చర్యలను ఎల్లప్పుడూ సెట్ చేసేలా చూడాలి. ఎగువ నేమ్స్పేస్ ఉనికిలో లేనప్పుడు లేదా వైల్డ్కార్డ్గా ఉన్నప్పుడు ఈ విషయాలను పరిగణనలోకి తీసుకోవాలి.
2.3 నుండి 2.3.34 మరియు 2.5 నుండి 2.5.16 పరిధిలో ఉన్న సంస్కరణలు ప్రభావితమవుతాయని విక్రేత వివరించినప్పటికీ, మద్దతు లేని స్ట్రట్స్ సంస్కరణలు కూడా ఈ దుర్బలత్వానికి గురయ్యే ప్రమాదం ఉందని వారు నమ్ముతారు. అపాచీ స్ట్రట్స్ యొక్క మద్దతు ఉన్న సంస్కరణల కోసం, విక్రేత అపాచీ స్ట్రట్స్ వెర్షన్ను విడుదల చేశారు 2.3.35 2.3.x సంస్కరణ దుర్బలత్వాల కోసం, మరియు ఇది సంస్కరణను విడుదల చేసింది 2.5.17 సంస్కరణ 2.5.x దుర్బలత్వం కోసం. దోపిడీ ప్రమాదాన్ని స్పష్టంగా తెలుసుకోవడానికి వినియోగదారులు సంబంధిత సంస్కరణలకు అప్గ్రేడ్ చేయాలని అభ్యర్థించారు. దుర్బలత్వం క్లిష్టమైనది మరియు తక్షణ చర్య అభ్యర్థించబడుతుంది.
ఈ రిమోట్ కోడ్ ఎగ్జిక్యూషన్ దుర్బలత్వాల పరిష్కారంతో పాటు, నవీకరణలలో కొన్ని ఇతర భద్రతా నవీకరణలు కూడా ఉన్నాయి, అవి ఒకేసారి తయారు చేయబడ్డాయి. ఇతర ఇతర నవీకరణలు విడుదల చేసిన ప్యాకేజీ సంస్కరణల్లో భాగం కానందున వెనుకబడిన అనుకూలత సమస్యలు ఆశించబడవు.