Kriittinen haavoittuvuus Apache Struts -sovelluskehyksessä

Apache Struts -sovelluskehyksestä on löydetty kriittinen haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvat asennukset on syytä päivittää viipymättä.

Haitallisen ohjelmakoodin suorittamiseen johtava haavoittuvuus liittyy Strutsin REST-liitännäiseen ja XStream-käsittelijän tapaan käsitellä XML-sisältöä.

Haavoittuvuuteen hyväksikäyttämiseen on saatavilla PoC (Proof of Concept) eli haavoittuvuuden toteen näyttävä ohjelmakoodi.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Apache Struts 2.5 - 2.5.12

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä Apache Struts versioon 2.5.13
  • Poista Struts REST liitännäinen käytöstä tai rajoita sen käyttö koskemaan vain xhtml- ja JSON -sisältöä:
  • <constant name="struts.action.extension" value="xhtml,,json" />

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248