Apache Struts -sovelluskehyksessä haavoittuvuus
Haavoittuvuus17/2018
Julkaistu
Päivitetty
Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvuuden hyödyntäminen lähitulevaisuudessa on todennäköistä, joten haavoittuvat asennukset on syytä päivittää viipymättä.
Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen ydinkomponenteista on löydetty haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton.
Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla.
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
- Struts 2.3 - Struts 2.3.34
- Struts 2.5 - Struts 2.5.16
- Struts-ohjelmiston tuen piiristä poistuneet versiot voivat myös olla haavoittuvia
Mistä on kysymys?
Päivitä Apache Struts versioon 2.3.35 tai 2.5.17 valmistajan ohjeiden mukaisesti.
Mitä voin tehdä?
- CVE-2018-11776 (Ulkoinen linkki)
- https://thehackernews.com/2018/08/apache-struts-vulnerability.html (Ulkoinen linkki)
- https://cwiki.apache.org/confluence/display/WW/S2-057 (Ulkoinen linkki)
- https://semmle.com/news/apache-struts-CVE-2018-11776 (Ulkoinen linkki)
- https://lgtm.com/blog/apache_struts_CVE-2018-11776 (Ulkoinen linkki)
Alkuperäinen haavoittuvuustiedote julkaistu 23.8.2018