Haavoittuvuus Apache Strutsin tiedostonlatauskomponentissa

Apache Struts -sovelluskehyksen yleisesti käyttämässä commons-fileupload-tiedostonlatauskomponentissa on tunnettu haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Samaa ohjelmakirjastoa käytetään myös monissa muissa järjestelmissä, joita sama haavoittuvuus koskee myös.

Haavoittuvuuden kohde

Apachen julkaisemassa tiedotteessa kehotetaan päivittämään Apache Struts versiossa 2.3.x käytettävä commons-fileupload-komponentti. Apache Struts 2.3.x käyttää oletusversiona vanhaa commons-fileupload-komponentin versiota 1.3.2, joka on haavoittuva hyökkäyksille.

Haavoittuvuus koskee Apache Strutsin versiota 2.3.x, jos verkkosivuilla käytetään siihen sisäänrakennettua tiedostonlähetysmekanismia. Versio 2.5.x ei ole enää haavoittuva. Uudempaan versioon sisäänrakennetussa tiedostonlähetysmekanismissa haavoittuvuus on korjattu.

Samaa haavoittuvaa commons-fileupload-ohjelmointikirjastoa käytetään muissakin palveluissa kuin Apache Strutsissa. Myös muissa samaa kirjastoa käyttävissä palveluissa saattaa olla tarjolla korjaavia tietoturvapäivityksiä.

Mistä on kysymys?

Kirjastokomponentti on päivitettävä versioon 1.3.3.

Apachen tiedotteen mukaan mikään yksittäinen Struts-version päivitys ei korjaa haavoittuvuutta, vaan commons-fileupload-kirjasto on korvattava uudella. Kirjastokomponentin korjattu versio 1.3.3 on erikseen kopioitava WEB-INF/lib-hakemistopolkuun, jossa se korvaa vanhan version. Maven-pohjaisissa projekteissa myös kirjastoriippuvuudet on päivitettävä ennen niiden käyttöönottoa.

Mitä voin tehdä?

CVE-2016-1000031
Uusin korjattu versio kirjastokomponentista: https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
Struts 2.3 Vulnerable to Two Year old File Upload Flaw (SANS)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.