Apache Struts -sovelluskehyksessä haavoittuvuus
Haavoittuvuus17/2018
Päivitetty
Julkaistu
Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvuuden hyödyntäminen lähitulevaisuudessa on todennäköistä, joten haavoittuvat asennukset on syytä päivittää viipymättä.
Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen ydinkomponenteista on löydetty haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton.
Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla.
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot
- Struts 2.3 - Struts 2.3.34
- Struts 2.5 - Struts 2.5.16
- Struts-ohjelmiston tuen piiristä poistuneet versiot voivat myös olla haavoittuvia
Ratkaisu- ja rajoitusmahdollisuudet
Päivitä Apache Struts versioon 2.3.35 tai 2.5.17 valmistajan ohjeiden mukaisesti.
Lisätietoja
- CVE-2018-11776 (Ulkoinen linkki)
- https://thehackernews.com/2018/08/apache-struts-vulnerability.html (Ulkoinen linkki)
- https://cwiki.apache.org/confluence/display/WW/S2-057 (Ulkoinen linkki)
- https://semmle.com/news/apache-struts-CVE-2018-11776 (Ulkoinen linkki)
- https://lgtm.com/blog/apache_struts_CVE-2018-11776 (Ulkoinen linkki)
Alkuperäinen haavoittuvuustiedote julkaistu 23.8.2018