Apache Struts -sovelluskehyksessä haavoittuvuus

Haavoittuvuus17/2018

Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvuuden hyödyntäminen lähitulevaisuudessa on todennäköistä, joten haavoittuvat asennukset on syytä päivittää viipymättä.

Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen ydinkomponenteista on löydetty haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton.

Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla.

Hyökkäystapa

  • Etäkäyttö
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

  • Struts 2.3 - Struts 2.3.34
  • Struts 2.5 - Struts 2.5.16
  • Struts-ohjelmiston tuen piiristä poistuneet versiot voivat myös olla haavoittuvia

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä Apache Struts versioon 2.3.35 tai 2.5.17 valmistajan ohjeiden mukaisesti.

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 23.8.2018