[Warning] Kritische Sicherheitslücke in Apache Struts 2 - Patches verfügbar

Robert Waldner waldner at cert.at
Wed Aug 22 13:28:34 CEST 2018 

22. August 2018

   Es wurde eine kritische Sicherheitslücke in Apache Struts 2 gefunden,
   die schwerwiegende Folgen für die Sicherheit von Webservern, die
   dieses Framework einsetzen, haben kann. CERT.at bittet daher um
   Beachtung der folgenden Hinweise.

Beschreibung

   Apache Struts 2 ist ein Web Application Framework, um Java EE
   Applikationen zu entwickeln. Entsprechend wird dieses vor allem in
   komplexeren Umgebungen eingesetzt.

Auswirkungen

   Ein Angreifer kann auf einem verwundbaren Webserver mittels
   entsprechend manipulierter Parameter beliebigen Code zur Ausführung
   bringen. Dadurch sind alle Daten auf diesen Systemen, sowie alle
   durch diese erreichbaren (etwa in Datenbanken, durch Login, VPN etc.)
   Daten und weiteren Systeme gefährdet.

Betroffene Systeme

   Webserver, die das Apache Struts 2 Framework in folgenden Versionen
   einsetzen:
     * Struts 2.3 - Struts 2.3.34
     * Struts 2.5 - Struts 2.5.16

Abhilfe

   Die Apache Software Foundation stellt entsprechend fehlerbereinigte
   Versionen von Struts 2 zur Verfügung:
     * 2.3.35
     * 2.5.17

Workaround

   Die Security-Warnung von Apache listet auch einen möglichen
   Workaround:
   Verify that you have set (and always not forgot to set) namespace (if
   is applicable) for your all defined results in underlying xml
   configurations. Also verify that you have set (and always not forgot
   to set) value or action for all url tags in your JSPs. Both are
   needed only when their upper action(s) configurations have no or
   wildcard namespace.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
   zurückzugreifen, sowie parallel Firewall-Software aktiv und den
   Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
   https://cwiki.apache.org/confluence/display/WW/S2-057
   Meldung des DFN-CERT
   https://adv-archiv.dfn-cert.de/adv/2018-1700/


-- 
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180822/6844b730/attachment.sig>

More information about the Warning mailing list