Apache Struts sérülékenységek

CH azonosító

CH-14316

Angol cím

Apache Struts vulnerabilities

Felfedezés dátuma

2017.11.30.

Súlyosság

Magas

Érintett rendszerek

Apache Software Foundation
Apache Struts

Érintett verziók

Apache Struts 2.5 - 2.5.14

Összefoglaló

Az Apache Struts legújabb verziójában  olyan biztonsági sebezhetőségeket javítottak, amelyeket kihasználva egy támadó – módosított JSON fájl segítségével – szolgáltatás-megtagadásos támadást tud végrehajtani, valamint lehetősége nyílhat tetszőleges kód futtatására.


Leírás

Az Apache Struts  2.5.14.1 verziójában két biztonsági sebezhetőséget javítottak. Az első esetben rosszindulatú JSON fájlokkal szolgáltatás-megtagadásos támadást lehet végrehajtani. A második sebezhetőség az ObjectMapper readValue() függvényét érinti, melynek kihasználásával távolról is lehetséges tetszőleges kódot futtatni a célrendszeren.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A javított Apache Struts elérhetősége:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1