CH azonosító
CH-14192Angol cím
Apache Struts Spring AOP and URLValidator Flaw Lets Remote Users Deny ServiceFelfedezés dátuma
2017.08.08.Súlyosság
MagasÉrintett rendszerek
Apache Software FoundationApache Struts
Érintett verziók
Apache Struts 2.3.7, 2.3.32, 2.5, 2.5.10.1
Összefoglaló
Az Apache Struts egy magas és egy alacsony besorolású sérülékenyége vált ismertté, amelyeket kihasználva szolgáltatás megtagadást (DoS) lehet előidézni. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
A távoli felhasználó szolgáltatás megtagadást (DoS) idézhet elő azoknál az alkalmazásoknál, amelyek a Struts műveletek biztosítására Spring AOP funkciót használnak. [CVE-2017-9787]
A távoli felhasználók speciálisan elkészített URL-adatokat megadva egy olyan alkalmazásnak, amely elfogadja a felhasználó által megadott URL-t egy űrlapmezőben és feldolgozza az URL-t a beépített URLValidatorral, túlterhelheti a kiszolgáló folyamatot az URL érvényesítése során. [CVE-2017-7672]
Megoldás
Frissítsen a 2.5.12 verzióra.
Támadás típusa
Resource Management ErrorsHatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Gyártói referencia: struts.apache.org
CVE-2017-9787 - NVD CVE-2017-9787
CVE-2017-7672 - NVD CVE-2017-7672
