Vakava haavoittuvuus Apache Struts -sovelluskehyksessä

Apache Struts -sovelluskehyksestä on löydetty vakava haavoittuvuus, joka mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä.

Haavoittuvuus liittyy freemarker tagien virheelliseen käyttötapaan. Struts ympäristön päivittäminen uudempaan versioon antaa osittaista suojaa haavoittuvuudelta, mutta sen lisäksi suositellaan virheellisten rakenteiden korjaamista.

Haavoittuvuuteen hyväksikäyttämiseen on saatavilla PoC (Proof of Concept) eli haavoittuvuuden toteen näyttävä ohjelmakoodi.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Struts 2.0.1 - 2.3.33
  • Struts 2.5 - 2.5.10

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä Apache Struts uusimpaan versioon
  • Poista haavoittuvat freemarker rakenteet (tarkempi kuvaus Apachen haavoittuvuustiedotteessa)

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Palvelin , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248