Apache Struts: werk nu en sluit kritieke kwetsbaarheid

Een onlangs vrijgegeven versie van Apache Struts sluit een kritische kloof. De ontwikkelaar en de ontdekker van de kwetsbaarheid verwachten dat het binnenkort zal misbruikt voor aanvallen op bedrijven. Dus snelle actie is wat nodig is.

Veel servers met Apache Struts kan blijkbaar gewoon te kapen. Voor de open-source framework voor Java apps bevat een kritieke kwetsbaarheid die code te injecteren via de aanvaller en uit te voeren. De ontwikkelaars geven een bugfix versie van Struts klaar om server admins moet nu importeren zo snel mogelijk. Voor maar er is geen algemeen beschikbare benutten die gebruik maken van het gat neemt - maar de klok tikt.

De storing met nummer CVE-2017-9805 heeft betrekking op de stutten versie 2.5 tot en met 2.5.12; Dit zijn alle versies sinds 2008. De zojuist ingezette versie 2.5.13 sluit het gat. Concreet kwetsbaar zijn webapplicaties die de populaire REST plugin te gebruiken. Blijkbaar is het voldoende dat een aanvaller stuurt speciaal vervaardigde XML-gegevens om de toepassing om de fout te triggeren en injecteer code. Voor de lading van de de-serialisatie XStreamHandler uiteraard niet elke vorm van filtering die zou voorkomen dat te maken.

Geen alternatief voor updgrade

Volgens waarin er geen redelijke oplossing dat de upgrade zou vervangen om de nieuwe versie van de korte Advisory ontwikkelaars. om zichzelf te beschermen als de enige manier waarop zij de verwijdering van de REST plugin of server te beperken tot de normale pagina's en JSON. Beide zijn waarschijnlijk vele Struts installaties gepaard gaan met ernstige beperkingen zijn. Beweert de uitvinder Man Yue Mo is de spleet 17 juli om stutten gemeld. Met het verschijnen van bugs opgelost Versie Semmle zijn bedrijf publiceerde ook een kort met de Adviesraad dringende actualisering. Verdere details van de kloof en ontwikkeld voor demonstratiedoeleinden Exploit ze niet te verstrekken aan het publiek. Echter, ze verwachten dat binnenkort een publieke exploit verschijnt.

Update 13:10 2017/06/09: Dat was snel: On Github er al een Metasploit module toe te voegen Apache Struts 2 REST plugin XStream RCE die naar verluidt de kloof te exploiteren. Maar, we hebben niet te proberen. (Ju)