Haavoittuvuus Apache Struts -sovelluskehyksessä

Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen REST-laajennoksessa on löydetty haavoittuvuus, joka voi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen kohdejärjestelmässä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Apache Struts 2 versiot 2.3.20 - 2.3.28.1

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto korjattuun versioon 2.3.29 valmistajan ohjeiden mukaisesti.

Lisätietoa:

https://struts.apache.org/docs/s2-037.html

http://jvndb.jvn.jp/en/contents/2016/JVNDB-2016-000110.html

CVE-2016-4438

Päivityshistoria

Asiasanat: Tietoturva , CERT , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248