Apache Struts, 2017 im Fokus des "legendären" Equifax-Hacks, steht jetzt wiederum im Zentrum des Interesses. Eine neu publizierte Lücke – CVE-2018-11776 – ermöglicht es, Code remote auszuführen. Betroffen sind die Versionen Struts 2.3 bis Struts 2.3.34 und Struts 2.5 bis Struts 2.5.16, dem beliebten Open-Source-Framework für Java-Webanwendungen.

Der Sicherheitsforscher Man Yue Mo von Semmle, der die Lücke entdeckt hat, bezeichnet sie als kritisch und führt hier aus, warum. Auch die Apache Software Foundation rät "dringend" zum Patchen. Allerdings sei es nur ein Workaround und ein schwacher dazu. Noch besser sei es, gleich auf die Versionen 2.3.35 oder 2.5.17 aufzurüsten.

Indirekt stimmt die Stiftung der Semmle-Einschätzung zu, dass die neue Lücke gefährlicher ist, als "die Equifax-Lücke."

Weil die US-Kreditfirma nicht gepatcht hatte, mussten damals 150 Millionen Bürger lernen, dass Hacker sensible Daten erbeuten konnten. Und die Firma selbst verlor, neben dem CISO, dem CEO und dem Kundenvertrauen, 600 Millionen Dollar.

In dem Sinne: Handeln, ASAP! (mag)