अपाचे स्ट्रट्स
एएसएफ समुदाय द्वारा बनाए गए कॉन्फ्लुएंस वेबसाइट पर प्रकाशित एक एडवाइजरी में, अपाचे स्ट्रट्स 2.x में एक दूरस्थ कोड निष्पादन भेद्यता की खोज की गई और यासर ज़मानी द्वारा विस्तृत की गई। खोज सेमल सुरक्षा अनुसंधान दल के मैन यू मो द्वारा की गई थी। तब से भेद्यता को CVE-2018-11776 लेबल दिया गया है। यह संभव दूरस्थ कोड निष्पादन शोषण के अवसरों के साथ अपाचे स्ट्रट्स संस्करण 2.3 से 2.3.34 और 2.5 से 2.5.16 को प्रभावित करता है।
यह भेद्यता तब उत्पन्न होती है जब बिना नाम स्थान के परिणामों का उपयोग किया जाता है, जबकि उनके ऊपरी कार्यों में कोई भी नाम स्थान नहीं होता है या उनके पास वाइल्डकार्ड नाम स्थान होता है। यह भेद्यता भी URL मानों के उपयोग से उत्पन्न होती है जो बिना सेट मान और कार्यों के होती है।
चारों ओर एक कार्य का सुझाव दिया गया है सलाहकार इस भेद्यता को कम करने के लिए जो यह मांग करता है कि उपयोगकर्ता यह सुनिश्चित करते हैं कि नाम स्थान हमेशा अंतर्निहित कॉन्फ़िगरेशन में सभी परिभाषित परिणामों के बिना विफल रहता है। इसके अतिरिक्त, उपयोगकर्ताओं को यह भी सुनिश्चित करना चाहिए कि वे हमेशा अपने JSP में असफल हुए बिना URL टैग के लिए मान और कार्य हमेशा निर्धारित करें। जब ऊपरी नाम स्थान मौजूद नहीं है या वाइल्डकार्ड के रूप में मौजूद है, तो इन चीजों पर विचार और सुनिश्चित करने की आवश्यकता है।
हालांकि विक्रेता ने रेखांकित किया है कि 2.3 से 2.3.3 की रेंज में संस्करण और 2.5 से 2.5.16 प्रभावित हैं, वे यह भी मानते हैं कि असमर्थित स्ट्रट्स संस्करण भी इस भेद्यता के जोखिम में हो सकते हैं। Apache Struts के समर्थित संस्करणों के लिए, विक्रेता ने Apache Struts संस्करण जारी किया है 2.3.35 2.3.x संस्करण भेद्यता के लिए, और यह संस्करण जारी किया है 2.5.17 संस्करण 2.5.x कमजोरियों के लिए। उपयोगकर्ताओं से अनुरोध है कि वे शोषण के जोखिम को कम करने के लिए संबंधित संस्करणों में अपग्रेड करें। भेद्यता को महत्वपूर्ण माना जाता है और इस तरह तत्काल कार्रवाई का अनुरोध किया जाता है।
इन संभावित रिमोट कोड निष्पादन भेद्यताओं के मात्र फिक्स के अलावा, अपडेट में कुछ अन्य सुरक्षा अपडेट भी शामिल हैं जिन्हें एक ही बार में रोल आउट किया गया है। बैकवर्ड संगतता मुद्दों की अपेक्षा नहीं की जाती है क्योंकि अन्य विविध अपडेट जारी किए गए पैकेज संस्करणों का हिस्सा नहीं हैं।
![[अपडेट] ट्विटर ने बताया कि अगले महीने से कौन से 'निष्क्रिय' खातों को हटाए जाने के लिए चिह्नित किया जाएगा](https://jf-balio.pt/img/news/00/twitter-clarifies-about-which-inactive-accounts-will-be-marked.png)
