அப்பாச்சி ஸ்ட்ரட்ஸ்
ஏ.எஸ்.எஃப் சமூகத்தால் பராமரிக்கப்படும் சங்கம இணையதளத்தில் வெளியிடப்பட்ட ஒரு ஆலோசனையில், அப்பாச்சி ஸ்ட்ரட்ஸ் 2.x இல் தொலைநிலை குறியீடு செயல்படுத்தல் பாதிப்பு யாசர் ஜமானியால் கண்டுபிடிக்கப்பட்டு விவரிக்கப்பட்டது. இந்த கண்டுபிடிப்பை செம்லே பாதுகாப்பு ஆராய்ச்சி குழுவின் மேன் யூ மோ என்பவர் கண்டுபிடித்தார். பாதிப்புக்கு பின்னர் CVE-2018-11776 என்ற லேபிள் வழங்கப்பட்டுள்ளது. இது அப்பாச்சி ஸ்ட்ரட்ஸ் பதிப்புகள் 2.3 முதல் 2.3.34 மற்றும் 2.5 முதல் 2.5.16 வரை பாதிக்கப்படுவதாகக் கண்டறியப்பட்டுள்ளது.
பெயர்வெளி இல்லாத முடிவுகள் பயன்படுத்தப்படும்போது, அவற்றின் மேல் செயல்களுக்கு எந்த பெயர்வெளியும் இல்லை அல்லது வைல்டு கார்டு பெயர்வெளியும் இல்லாததால் இந்த பாதிப்பு ஏற்படுகிறது. தொகுப்பு மதிப்புகள் மற்றும் செயல்கள் இல்லாமல் URL குறிச்சொற்களைப் பயன்படுத்துவதிலிருந்தும் இந்த பாதிப்பு எழுகிறது.
சுற்றி ஒரு வேலை பரிந்துரைக்கப்படுகிறது ஆலோசனை இந்த பாதிப்பைத் தணிக்க, அடிப்படை உள்ளமைவுகளில் வரையறுக்கப்பட்ட அனைத்து முடிவுகளுக்கும் பெயர்வெளி எப்போதும் தவறாமல் அமைக்கப்பட்டிருப்பதை பயனர்கள் உறுதிப்படுத்த வேண்டும் என்று கோருகிறது. இது தவிர, பயனர்கள் தங்கள் JSP களில் தவறாமல் முறையே URL குறிச்சொற்களுக்கான மதிப்புகள் மற்றும் செயல்களை எப்போதும் அமைப்பதை உறுதி செய்ய வேண்டும். மேல் பெயர்வெளி இல்லாதபோது அல்லது வைல்டு கார்டாக இருக்கும்போது இந்த விஷயங்களைக் கருத்தில் கொண்டு உறுதிப்படுத்த வேண்டும்.
2.3 முதல் 2.3.34 மற்றும் 2.5 முதல் 2.5.16 வரையிலான பதிப்புகள் பாதிக்கப்படுகின்றன என்று விற்பனையாளர் கோடிட்டுக் காட்டியிருந்தாலும், ஆதரிக்கப்படாத ஸ்ட்ரட்ஸ் பதிப்புகள் இந்த பாதிப்புக்கு ஆபத்தில் இருக்கக்கூடும் என்றும் அவர்கள் நம்புகிறார்கள். அப்பாச்சி ஸ்ட்ரட்ஸின் ஆதரவு பதிப்புகளுக்கு, விற்பனையாளர் அப்பாச்சி ஸ்ட்ரட்ஸ் பதிப்பை வெளியிட்டுள்ளார் 2.3.35 2.3.x பதிப்பு பாதிப்புகளுக்கு, இது பதிப்பை வெளியிட்டுள்ளது 2.5.17 பதிப்பு 2.5.x பாதிப்புகளுக்கு. பயனர்கள் சுரண்டல் அபாயத்தைத் தடுக்க அந்தந்த பதிப்புகளுக்கு மேம்படுத்துமாறு கேட்டுக்கொள்ளப்படுகிறார்கள். பாதிப்பு முக்கியமானதாக தரப்படுத்தப்பட்டுள்ளது, எனவே உடனடி நடவடிக்கை கோரப்படுகிறது.
இந்த சாத்தியமான ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்புகளை சரிசெய்வதோடு மட்டுமல்லாமல், புதுப்பிப்புகளில் வேறு சில பாதுகாப்பு புதுப்பிப்புகளும் உள்ளன, அவை அனைத்தும் ஒரே நேரத்தில் உருவாக்கப்பட்டுள்ளன. பிற இதர புதுப்பிப்புகள் வெளியிடப்பட்ட தொகுப்பு பதிப்புகளின் ஒரு பகுதியாக இல்லாததால் பின்தங்கிய பொருந்தக்கூடிய சிக்கல்கள் எதிர்பார்க்கப்படுவதில்லை.
