2017-2180: Apache Software Foundation Struts: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-12-01 13:41)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

IBM
Linux
Microsoft
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in von Apache Struts 2 verwendeten Bibliotheken ausnutzen, um während der Deserialisierung von Objekten beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über ein System möglicherweise vollständig zu übernehmen oder mit einer speziell präparierten JSON Payload einen Denial-of-Service (DoS)-Angriff durchzuführen.

Der Hersteller informiert darüber, dass Apache Struts in den Versionen 2.5 bis 2.5.14 von den Schwachstellen betroffen ist und stellt die Version 2.5.14.1 als 'General Availability' (GA) Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2017-15707

Schwachstelle in JSON-lib ermöglicht Denial-of-Service-Angriff

CVE-2017-7525

Schwachstelle in jackson-databind ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.