CH azonosító
CH-7490Angol cím
Apache Struts Cross-Site Request Forgery and Denial of Service VulnerabilitiesFelfedezés dátuma
2012.08.30.Súlyosság
KözepesÖsszefoglaló
Az Apache Struts két sérülékenységet jelentették, amit kihasználva a támadók cross-site request forgery (XSRF/CSRF) támadásokat indíthatnak, illetve szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- A token kezelési mechanizmus nem hitelesíti megfelelően a token név konfigurátor paraméterét, amit kihasználva cross-site request forgery (XSRF/CSRF) támadást lehet indítani a token paramétereinek manipulálásával.
- A kérések paramétereinek kezelése közben fellépő hibát kihasználva magas CPU terhelést lehet előidézni, ami szolgáltatás megtagadáshoz vezet (DoS – Denial of Service) az OGNL kifejezésekben szereplő speciálisan elkészített paraméter nevek segítségével.
A sérülékenységeket a 2.3.4.1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: struts.apache.org
Gyártói referencia: struts.apache.org
SECUNIA 50420
