2017-1187: Apache Software Foundation Struts: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-07-10 16:44)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

IBM
Linux
Microsoft
UNIX

Beschreibung:

In der 'Showcase'-Anwendung des 'Struts 1'-Plugin in Apache Struts 2 existiert eine Schwachstelle, die ein entfernter, nicht authentisierter Angreifer mit Hilfe präparierter Eingaben ausnutzen kann, um beliebigen Programmcode zur Ausführung zu bringen.

Der Hersteller informiert darüber, dass Apache Struts 2.3.x von der Schwachstelle betroffen ist. Den Programmierern wird vom Hersteller empfohlen, immer die Schlüsselwerte einer Ressource anstelle der Rohwerte der Nachricht an die 'ActionMessage'-Methode zu übergeben, damit eine Ausnutzung der Schwachstelle vermieden wird.

Alternativ sollte die 'Showcase'-Anwendung nicht installiert bzw. deinstalliert werden.

Schwachstellen:

CVE-2017-9791

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.