Волна взломов сайтов через неисправленную уязвимость в Apache Struts

Опубликовано экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критичечкая 0-day уязвимость (CVE-2017-5638), которая уже несколько дней используется злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts.

Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для отображения сообщения об ошибке, которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову обработчика Multipart parser и выполнению произвольного кода.

Так как в открытом доступе опубликован готовый эксплоит и в сети уже зафиксирована автоматизированная вредоносная активность, эксплуатирующая данную уязвимость, всем пользователям Apache Struts рекомендуется в экстренном порядке выполнить обновление или блокировать работу компонента Multipart parser. Обновления пакетов с libstruts уже выпущено для Debian. В Ubuntu проблема остается неисправленной. В штатных репозиториях RHEL/Cent OS пакет Apache Struts не поставляется.