Haavoittuvuus Apache Strutsin tiedostonlatauskomponentissa

Haavoittuvuus25/2018

Apache Struts -sovelluskehyksen yleisesti käyttämässä commons-fileupload-tiedostonlatauskomponentissa on tunnettu haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Samaa ohjelmakirjastoa käytetään myös monissa muissa järjestelmissä, joita sama haavoittuvuus koskee myös.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Apachen julkaisemassa tiedotteessa kehotetaan päivittämään Apache Struts versiossa 2.3.x käytettävä commons-fileupload-komponentti. Apache Struts 2.3.x käyttää oletusversiona vanhaa commons-fileupload-komponentin versiota 1.3.2, joka on haavoittuva hyökkäyksille.

Haavoittuvuus koskee Apache Strutsin versiota 2.3.x, jos verkkosivuilla käytetään siihen sisäänrakennettua tiedostonlähetysmekanismia. Versio 2.5.x ei ole enää haavoittuva. Uudempaan versioon sisäänrakennetussa tiedostonlähetysmekanismissa haavoittuvuus on korjattu.

Samaa haavoittuvaa commons-fileupload-ohjelmointikirjastoa käytetään muissakin palveluissa kuin Apache Strutsissa. Myös muissa samaa kirjastoa käyttävissä palveluissa saattaa olla tarjolla korjaavia tietoturvapäivityksiä.

Ratkaisu- ja rajoitusmahdollisuudet

Kirjastokomponentti on päivitettävä versioon 1.3.3.

Apachen tiedotteen mukaan mikään yksittäinen Struts-version päivitys ei korjaa haavoittuvuutta, vaan commons-fileupload-kirjasto on korvattava uudella. Kirjastokomponentin korjattu versio 1.3.3 on erikseen kopioitava WEB-INF/lib-hakemistopolkuun, jossa se korvaa vanhan version. Maven-pohjaisissa projekteissa myös kirjastoriippuvuudet on päivitettävä ennen niiden käyttöönottoa.

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 6.11.2018