Kritische Sicherheitslücke in Apache Struts 2 – Patches verfügbar


Kritische Sicherheitslücke in Apache Struts 2 – Patches verfügbar

22. August 2018

Es wurde eine kritische Sicherheitslücke in Apache Struts 2 gefunden, die
schwerwiegende Folgen für die Sicherheit von Webservern, die dieses
Framework einsetzen, haben kann.
CERT.at bittet daher um Beachtung der folgenden Hinweise.

Beschreibung

Apache Struts 2 ist ein Web Application Framework, um Java EE Applikationen zu
entwickeln. Entsprechend wird dieses vor allem in komplexeren Umgebungen
eingesetzt.

Auswirkungen

Ein Angreifer kann auf einem verwundbaren Webserver mittels entsprechend
manipulierter Parameter beliebigen Code zur Ausführung bringen.
Dadurch sind alle Daten auf diesen Systemen, sowie alle durch diese
erreichbaren (etwa in Datenbanken, durch Login, VPN etc.) Daten und
weiteren Systeme gefährdet.

Betroffene Systeme

Webserver, die das Apache Struts 2 Framework in folgenden Versionen einsetzen:

  • Struts 2.3 – Struts 2.3.34
  • Struts 2.5 – Struts 2.5.16

Abhilfe

Die Apache Software Foundation stellt entsprechend fehlerbereinigte Versionen
von Struts 2 zur Verfügung:

  • 2.3.35
  • 2.5.17

Workaround

Die Security-Warnung von Apache listet auch einen möglichen Workaround:
Verify that you have set (and always not forgot to set) namespace
(if is applicable) for your all defined results in underlying xml
configurations. Also verify that you have set (and always not forgot to set)
value or action for all url tags in your JSPs. Both are needed only when
their upper action(s) configurations have no or wildcard namespace.

Hinweis

Generell empfiehlt CERT.at, wo möglich die „automatisches
Update“-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, …) auf die
„Click-to-play“-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.


Informationsquelle(n):

Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
https://cwiki.apache.org/confluence/display/WW/S2-057
Meldung des DFN-CERT
https://adv-archiv.dfn-cert.de/adv/2018-1700/

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.