[Warning] Kritische Sicherheitslücke in Apache Struts 2 - Patches verfügbar
Robert Waldner
waldner at cert.at
Wed Aug 22 13:28:34 CEST 2018
22. August 2018
Es wurde eine kritische Sicherheitslücke in Apache Struts 2 gefunden,
die schwerwiegende Folgen für die Sicherheit von Webservern, die
dieses Framework einsetzen, haben kann. CERT.at bittet daher um
Beachtung der folgenden Hinweise.
Beschreibung
Apache Struts 2 ist ein Web Application Framework, um Java EE
Applikationen zu entwickeln. Entsprechend wird dieses vor allem in
komplexeren Umgebungen eingesetzt.
Auswirkungen
Ein Angreifer kann auf einem verwundbaren Webserver mittels
entsprechend manipulierter Parameter beliebigen Code zur Ausführung
bringen. Dadurch sind alle Daten auf diesen Systemen, sowie alle
durch diese erreichbaren (etwa in Datenbanken, durch Login, VPN etc.)
Daten und weiteren Systeme gefährdet.
Betroffene Systeme
Webserver, die das Apache Struts 2 Framework in folgenden Versionen
einsetzen:
* Struts 2.3 - Struts 2.3.34
* Struts 2.5 - Struts 2.5.16
Abhilfe
Die Apache Software Foundation stellt entsprechend fehlerbereinigte
Versionen von Struts 2 zur Verfügung:
* 2.3.35
* 2.5.17
Workaround
Die Security-Warnung von Apache listet auch einen möglichen
Workaround:
Verify that you have set (and always not forgot to set) namespace (if
is applicable) for your all defined results in underlying xml
configurations. Also verify that you have set (and always not forgot
to set) value or action for all url tags in your JSPs. Both are
needed only when their upper action(s) configurations have no or
wildcard namespace.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
https://cwiki.apache.org/confluence/display/WW/S2-057
Meldung des DFN-CERT
https://adv-archiv.dfn-cert.de/adv/2018-1700/
--
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180822/6844b730/attachment.sig>
More information about the Warning
mailing list