Haavoittuvuus Apache Strutsin tiedostonlatauskomponentissa
Haavoittuvuus25/2018
Apache Struts -sovelluskehyksen yleisesti käyttämässä commons-fileupload-tiedostonlatauskomponentissa on tunnettu haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Samaa ohjelmakirjastoa käytetään myös monissa muissa järjestelmissä, joita sama haavoittuvuus koskee myös.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
Apachen julkaisemassa tiedotteessa kehotetaan päivittämään Apache Struts versiossa 2.3.x käytettävä commons-fileupload-komponentti. Apache Struts 2.3.x käyttää oletusversiona vanhaa commons-fileupload-komponentin versiota 1.3.2, joka on haavoittuva hyökkäyksille.
Haavoittuvuus koskee Apache Strutsin versiota 2.3.x, jos verkkosivuilla käytetään siihen sisäänrakennettua tiedostonlähetysmekanismia. Versio 2.5.x ei ole enää haavoittuva. Uudempaan versioon sisäänrakennetussa tiedostonlähetysmekanismissa haavoittuvuus on korjattu.
Samaa haavoittuvaa commons-fileupload-ohjelmointikirjastoa käytetään muissakin palveluissa kuin Apache Strutsissa. Myös muissa samaa kirjastoa käyttävissä palveluissa saattaa olla tarjolla korjaavia tietoturvapäivityksiä.
Ratkaisu- ja rajoitusmahdollisuudet
Kirjastokomponentti on päivitettävä versioon 1.3.3.
Apachen tiedotteen mukaan mikään yksittäinen Struts-version päivitys ei korjaa haavoittuvuutta, vaan commons-fileupload-kirjasto on korvattava uudella. Kirjastokomponentin korjattu versio 1.3.3 on erikseen kopioitava WEB-INF/lib-hakemistopolkuun, jossa se korvaa vanhan version. Maven-pohjaisissa projekteissa myös kirjastoriippuvuudet on päivitettävä ennen niiden käyttöönottoa.
Lisätietoja
- CVE-2016-1000031 (Ulkoinen linkki)
- Uusin korjattu versio kirjastokomponentista: https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi (Ulkoinen linkki)
- Struts 2.3 Vulnerable to Two Year old File Upload Flaw (Ulkoinen linkki) (SANS)
Alkuperäinen haavoittuvuustiedote julkaistu 6.11.2018