অ্যাপাচি স্ট্রুটস
এএসএফ সম্প্রদায়ের দ্বারা পরিচালিত কনফ্লুয়েন্স ওয়েবসাইটে প্রকাশিত একটি পরামর্শে, অ্যাপাচি স্ট্রুস ২.x এর একটি রিমোট কোড এক্সিকিউটিভ দুর্বলতা ইয়াসের জামানির দ্বারা আবিষ্কার করা হয়েছে এবং এর দ্বারা ব্যাখ্যা করা হয়েছে। আবিষ্কারটি সেমল সিকিউরিটি গবেষণা দলের ম্যান ইউ মো করেছিলেন। দুর্বলতার পরে সিভিই-2018-11776 লেবেল দেওয়া হয়েছে। এটি অ্যাপাচি স্ট্রুট সংস্করণগুলিকে 2.3 থেকে 2.3.34 এবং 2.5 থেকে 2.5.16 পর্যন্ত সম্ভাব্য দূরবর্তী কোড প্রয়োগের সুযোগগুলি কাজে লাগিয়ে প্রভাবিত করে।
এই দুর্বলতাটি তখন থেকেই উদ্ভূত হয় যখন নেমস্পেস ছাড়াই ফলাফলগুলি ব্যবহার করা হয় যখন তাদের উপরের ক্রিয়াকলাপগুলিতে কোনও নেমস্পেস থাকে না বা ওয়াইল্ডকার্ড নেমস্পেস থাকে না। এই দুর্বলতাটি সেট মান এবং ক্রিয়া ছাড়াই ইউআরএল ট্যাগগুলির ব্যবহার থেকেও উদ্ভূত হয়।
আশেপাশে একটি কাজ প্রস্তাব করা হয়েছে পরামর্শদাতা এই দুর্বলতা প্রশমিত করার জন্য যা ব্যবহারকারীরা নিশ্চিত করে যে অন্তর্নিহিত কনফিগারেশনের সমস্ত সংজ্ঞায়িত ফলাফলের জন্য নাম স্থানটি সর্বদা সেট করা যায় না demands এটির পাশাপাশি, ব্যবহারকারীদের অবশ্যই নিশ্চিত করতে হবে যে তারা সবসময় তাদের জেএসপিগুলিতে ব্যর্থ না হয়ে যথাক্রমে ইউআরএল ট্যাগের জন্য মান এবং ক্রিয়া সেট করে। উপরের নেমস্পেসটি যখন ওয়াইল্ডকার্ড হিসাবে উপস্থিত না থাকে বা উপস্থিত না থাকে তখন এই বিষয়গুলি বিবেচনা করা এবং নিশ্চিত করা দরকার।
যদিও বিক্রেতার বর্ণনা দিয়েছেন যে ২.৩ থেকে ২.৩.৩৪ এবং 2.5 থেকে 2.5.16 এর মধ্যে থাকা সংস্করণগুলি প্রভাবিত হয়েছে, তারা আরও বিশ্বাস করেন যে অসমর্থিত স্ট্রুট সংস্করণগুলিও এই দুর্বলতার ঝুঁকিতে থাকতে পারে। অ্যাপাচি স্ট্রুটের সমর্থিত সংস্করণগুলির জন্য, বিক্রেতা অ্যাপাচি স্ট্রুস সংস্করণ প্রকাশ করেছে 2.3.35 ২.৩.x সংস্করণ দুর্বলতার জন্য এবং এটি সংস্করণ প্রকাশ করেছে 2.5.17 সংস্করণ 2.5.x দুর্বলতার জন্য। ব্যবহারকারীদের শোষণের ঝুঁকি থেকে রক্ষা পেতে সংশ্লিষ্ট সংস্করণগুলিতে আপগ্রেড করার জন্য অনুরোধ করা হচ্ছে। দুর্বলতাটিকে সমালোচনামূলক হিসাবে স্থান দেওয়া হয় এবং তাই তাত্ক্ষণিক পদক্ষেপের জন্য অনুরোধ করা হয়।
এই সম্ভাব্য দূরবর্তী কোড কার্যকরকরণের দুর্বলতার নিখুঁতভাবে সংশোধন করা ছাড়াও, আপডেটগুলিতে আরও কয়েকটি সুরক্ষা আপডেট রয়েছে যা সমস্ত একসাথে ঘুরে দেখা গেছে। অন্যান্য বিবিধ আপডেটগুলি প্রকাশিত প্যাকেজ সংস্করণের অংশ না হওয়ায় পশ্চাদগম্য সামঞ্জস্যের সমস্যাগুলি প্রত্যাশিত নয়।
