Apache Struts -sovelluskehyksessä haavoittuvuus

Apache Struts -sovelluskehyksestä on löydetty haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Kyberturvallisuuskeskuksen arvion mukaan haavoittuvuuden hyödyntäminen lähitulevaisuudessa on todennäköistä, joten haavoittuvat asennukset on syytä päivittää viipymättä.

Apache Struts on avoimen lähdekoodin sovelluskehys Java EE web-sovellusten kehitykseen. Sovelluskehyksen ydinkomponenteista on löydetty haavoittuvuus, joka mahdollistaa kohdejärjestelmän haltuunoton.

Haavoittuvuutta hyödyntävä hyväksikäyttökoodi on julkisesti saatavilla.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Struts 2.3 - Struts 2.3.34
  • Struts 2.5 - Struts 2.5.16
  • Struts-ohjelmiston tuen piiristä poistuneet versiot voivat myös olla haavoittuvia

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä Apache Struts versioon 2.3.35 tai 2.5.17 valmistajan ohjeiden mukaisesti.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Palvelin , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248