forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в Apache Struts"
Отправлено opennews, 06-Сен-17 09:09

Опубликовано (http://struts.apache.org/announce.html#a20170905)  обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller.  В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина  REST с обработчиком XStream  для десериализации XML-блоков (применяется по умолчанию).

Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе  Apache Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) около  65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST).  В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе.

Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=1488482)  Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST.

URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement
Новость: http://www.opennet.ru/opennews/art.shtml?num=47139

Исходное сообщение
"Критическая уязвимость в Apache Struts" Отправлено opennews, 06-Сен-17 09:09
Опубликовано (http://struts.apache.org/announce.html#a20170905) обновление web-фреймворка Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию). Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) на корпоративные сети, в которых применяются приложения на базе Apache Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) около 65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST). В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе. Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=1488482) Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST. URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement Новость: http://www.opennet.ru/opennews/art.shtml?num=47139

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликовано (http://struts.apache.org/announce.html#a20170905)  обновление web-фреймворка 
> Apache Struts 2.5.13 (http://struts.apache.org), применяемого для создания web-приложений 
> на языке Java с использованием парадигмы Model-View-Controller.  В состав выпуска 
> включено исправление критической уязвимости (https://struts.apache.org/docs/s2-052.html) 
> (CVE-2017-9805 (https://security-tracker.debian.org/tracker/CVE-2017-9805)), позволяющей 
> выполнить код на стороне сервера. Атака может быть проведена через отправку 
> специально оформленного HTTP-запроса. Уязвимость проявляется (https://lgtm.com/blog/apache_struts_CVE-2017-9805) 
> при использовании плагина  REST с обработчиком XStream  для десериализации 
> XML-блоков (применяется по умолчанию).

> Пользователям рекомендуется как можно скорее установить исправление, так как не исключено 
> повторение весенней массированной атаки (https://www.opennet.ru/opennews/art.shtml?num=46167) 
> на корпоративные сети, в которых применяются приложения на базе  Apache 
> Struts (по статистике (https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement) 
> около  65% компаний из списка Fortune 100 используют приложения на 
> базе Struts и почти во всех подобных корпоративных приложениях используется плагин 
> REST).  В случае если web-приложение выполняется в контейнере Apache Tomcat, 
> запускаемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_without_root_privileges.3F) 
> с правами root, в результате атаки сразу может быть получен root-доступ 
> к системе.

> Проблема затрагивает все версии Apache Struts, выпущенные с 2008 года, и пока 
> остаётся неисправленной в дистрибутивах Debian (https://security-tracker.debian.org/tracker/CVE-2017-9805), 
> EPEL-7 (https://bugzilla.redhat.com/show_bug.cgi?id=1488487), Ubuntu (https://usn.ubuntu.com/usn/) 
> (в SUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-9805), Fedora и RHEL 
> (https://bugzilla.redhat.com/show_bug.cgi?id=1488482)  Struts 2 не поставляется). 
> Если нет возможности обновить версию Struts в качестве обходного пути блокирования 
> уязвимости предлагается удалить плагин Struts REST.

> URL: https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47139

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру