Bei einem Abgleich zwischen Apache-Struts-Releases und von Apache veröffentlichten Security Bulletins haben Sicherheitsforscher eine Vielzahl falscher Angaben zu verwundbaren beziehungsweise nicht verwundbaren Versionen des Open-Source-Frameworks entdeckt.
Apache hat die Angaben mittlerweile korrigiert und ein zusätzliches Bulletin veröffentlicht, das Korrekturen in insgesamt 15 früheren Veröffentlichungen auflistet. Anwender, die sich beim Updaten an fehlerhafte Angaben zu vermeintlich abgesicherten Versionen gehalten haben, laufen Gefahr, unwissentlich noch immer eine Version mit Sicherheitslücken zu betreiben. Dementsprechend ist es ratsam, noch einmal einen Blick auf die aktualisierten Angaben zu werfen.
Potenziell von den Sicherheitslücken aus den falschen Advisories betroffen sind alle Struts-Versionen von 2.0.0 bis einschließlich 2.5.12.
Die beste Lösung: Update auf 2.3.35 oder 2.5.17
Sowohl im neuen Struts-Bulletin als auch im Blogeintrag der Forscher von Synopsys' Cybersecurity Research Center (CyRC), die die Fehler entdeckt haben, findet sich ein Hinweis auf die einfachste Lösung aller Unstimmigkeiten: Ein Update des Web-Frameworks auf eine der von sämtlichen Sicherheitslücken befreiten Versionen 2.3.35 oder 2.5.17.
Da sich die Versionsreihe 2.3.x laut einer im vergangenen Jahr veröffentlichten Ankündigung im End-of-Life-Status befindet, dürfte 2.5.17 allerdings die bessere Wahl sein.
Quelle: Falsche Versionsangaben: Mehre Security Bulletins zu Apache Struts korrigiert | heise online