Päivitä Apache Struts -sovelluskehys viipymättä

Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvuutta hyödynnetään jo aktiivisesti, joten haavoittuvat asennukset on syytä päivittää viipymättä.

Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen käyttämästä Jakarta Multipart -käsittelijästä on löydetty haavoittuvuus, joka mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen kohdejärjestelmässä.

Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla ja hyväksikäyttöyrityksiä on jo havaittu.

Haavoittuvuus liittyy virheelliseen Content-Type -arvon käsittelyyn ladattaessa tiedostoja Struts-palvelimelle.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Apache Struts 2.3.5 - 2.3.31
  • Apache Struts 2.5 - 2.5.10

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto korjattuun versioon valmistajan ohjeiden mukaisesti.

Ongelmaa voi rajoittaa toteuttamalla Servlet-suodattimen, joka tarkistaa Content-Type -arvon ja hylkää pyynnön, jos arvo on muu kuin multipart/form-data.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Exploit , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248