2017-1554: Apache Software Foundation Struts: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-09-05 18:39): Neues Advisory
Version 2 (2017-09-07 13:52): Der Hersteller informiert mit Apache Struts Security Bulletin S2-053 über eine weitere 'Remote-Code-Execution' (RCE)-Schwachstelle (CVE-2017-12611), von der Apache Struts in den Versionen 2.0.1 bis 2.3.33 und in den Versionen 2.5 bis 2.5.10 betroffen ist, und stellt die Version 2.3.34 als 'General Availability' (GA) Sicherheitsupdate zur Verfügung. Daraus kann geschlossen werden, dass diese Schwachstelle im 2.5er-Zweig auch bereits zuvor geschlossen wurde. Ferner ist nun aus den entsprechenden Bulletins ersichtlich, dass zudem die Denial-of-Service (DoS)-Schwachstelle CVE-2017-9804 auch Apache Struts 2.3.7 bis 2.3.33 betrifft und die 'Remote-Code-Execution' (RCE)-Schwachstelle CVE-2017-9805 auch die Versionen 2.1.2 bis 2.3.33. Für letztere wurden inzwischen mehrere Proof-of-Concept-Exploits veröffentlicht, inklusive eines dedizierten Metasploit Framework Modules, weshalb von einem hohen Ausnutzungsrisiko ausgegangen werden muss.
Version 3 (2017-09-08 12:52): Cisco informiert in einer Sicherheitsmeldung über die drei am 5. September von der Apache Software Foundation veröffentlichten Schwachstellen in Apache Struts. Zahlreiche Cisco-Produkte beinhalten eine Version des Paketes Apache Struts 2, welches von diesen Schwachstellen betroffen ist. Momentan untersucht Cisco alle fraglichen Produktlinien daraufhin, ob diese durch die Schwachstellen verwundbar sind. Besonderes Augenmerk liegt bei der Untersuchung auf der als kritisch eingestuften Schwachstelle CVE-2017-9805 (Apache Struts REST plug-in XML processing arbitrary code execution vulnerability). Cisco kündigt an, die Sicherheitsmeldung zu aktualisieren, sobald neuere Erkenntnisse bezüglich verwundbarer und nicht verwundbarer Produkte vorliegen. Zum gegenwärtigen Zeitpunkt ist kein Produkt als verwundbar gegenüber CVE-2017-9805 bekannt, es werden jedoch bereits eine Reihe von Produkte als nicht verwundbar gegenüber den drei genannten Schwachstellen aufgelistet.
Version 4 (2017-09-11 18:59): Cisco informiert in der Sicherheitsmeldung cisco-sa-20170909-struts2-rce über eine am 7. September von der Apache Software Foundation veröffentlichten Schwachstelle in der Freemarker Tag Funktionalität von Apache Struts 2, das von zahlreichen Cisco-Produkten verwendet wird. Momentan untersucht Cisco alle fraglichen Produktlinien daraufhin, ob diese durch die Schwachstelle verwundbar sind und kündigt an, die Sicherheitsmeldung zu aktualisieren, sobald neuere Erkenntnisse bezüglich verwundbarer und nicht verwundbarer Produkte vorliegen. Zum gegenwärtigen Zeitpunkt ist kein Produkt als verwundbar gegenüber CVE-2017-12611 bekannt.
Version 5 (2017-09-12 13:40): Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den Schwachstellen betroffene Produkte. Cisco Unified Contact Center Enterprise und Cisco Unified Intelligent Contact Management Enterprise sind in den Versionen 10.5(1), 11.0(1), 11.5(1) und 11.6(1) (siehe auch Bug ID CSCvf86098) insbesondere auch von der kritischen Schwachstelle CVE-2017-9805 betroffen. Die Schwachstelle CVE-2017-12611 betrifft Cisco Hosted Collaboration Solution for Contact Center 10.5(1), 11.0(1), 11.5(1) und 11.6(1) (siehe auch Bug ID CSCvf90001) sowie Cisco Unified Contact Center Enterprise und Cisco Unified Intelligent Contact Management Enterprise in den Versionen 10.5(3), 10.5(3)ES, 11.0(2), 11.0(2)ES, 11.5(1), 11.5(1)ES, 11.6(1) und 11.6(1)ES (siehe auch Bug ID CSCvf89964). Sicherheitsupdates sind derzeit noch nicht verfügbar.
Version 6 (2017-09-13 13:47): Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den Schwachstellen betroffene Produkte. Cisco Hosted Collaboration Solution for Contact Center 10.5(1), 11.0(1), 11.5(1) und 11.6(1) (siehe auch Bug ID CSCvf86143) ist demnach ebenfalls insbesondere auch von der als 'kritisch' bewerteten Schwachstelle CVE-2017-9805 betroffen. Sicherheitsupdates sind derzeit noch nicht 'pending'.
Version 7 (2017-09-14 12:27): Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den Schwachstellen betroffene Produkte. Cisco Unified Contact Center Enterprise 9.0(4) (siehe auch Bug ID CSCvf86098) ist demnach ebenfalls insbesondere auch von der als 'kritisch' bewerteten Schwachstelle CVE-2017-9805 betroffen. Sicherheitsupdates sind derzeit immer noch 'pending'.

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Cisco
IBM
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in Apache Struts ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

Der Hersteller informiert darüber, dass Apache Struts in den Versionen 2.5 bis 2.5.12 von den Schwachstellen betroffen ist und stellt die Version 2.5.13 als 'General Availability' (GA) Sicherheitsupdate zur Verfügung. Die Denial-of-Service (DoS)-Schwachstelle CVE-2017-9793 betrifft auch Struts 2.3.7 bis 2.3.33, die Version 2.3.34 wurde bisher noch nicht veröffentlicht.

Schwachstellen:

CVE-2017-12611

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-9793

Schwachstelle in Apache Struts ermöglicht Denial-of-Service-Angriff

CVE-2017-9804