Kritische Sicherheitslücke in Apache Struts 2 - Patches verfügbar
22. August 2018
Es wurde eine kritische Sicherheitslücke in Apache Struts 2 gefunden, die
schwerwiegende Folgen für die Sicherheit von Webservern, die dieses
Framework einsetzen, haben kann.
CERT.at bittet daher um Beachtung der folgenden Hinweise.
Verify that you have set (and always not forgot to set) namespace (if is applicable) for your all defined results in underlying xml configurations. Also verify that you have set (and always not forgot to set) value or action for all url tags in your JSPs. Both are needed only when their upper action(s) configurations have no or wildcard namespace.
Informationsquelle(n):
Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
https://cwiki.apache.org/confluence/display/WW/S2-057
Meldung des DFN-CERT
https://adv-archiv.dfn-cert.de/adv/2018-1700/
Beschreibung
Apache Struts 2 ist ein Web Application Framework, um Java EE Applikationen zu entwickeln. Entsprechend wird dieses vor allem in komplexeren Umgebungen eingesetzt.Auswirkungen
Ein Angreifer kann auf einem verwundbaren Webserver mittels entsprechend manipulierter Parameter beliebigen Code zur Ausführung bringen. Dadurch sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa in Datenbanken, durch Login, VPN etc.) Daten und weiteren Systeme gefährdet.Betroffene Systeme
Webserver, die das Apache Struts 2 Framework in folgenden Versionen einsetzen:- Struts 2.3 - Struts 2.3.34
- Struts 2.5 - Struts 2.5.16
Abhilfe
Die Apache Software Foundation stellt entsprechend fehlerbereinigte Versionen von Struts 2 zur Verfügung:- 2.3.35
- 2.5.17
Workaround
Die Security-Warnung von Apache listet auch einen möglichen Workaround:Verify that you have set (and always not forgot to set) namespace (if is applicable) for your all defined results in underlying xml configurations. Also verify that you have set (and always not forgot to set) value or action for all url tags in your JSPs. Both are needed only when their upper action(s) configurations have no or wildcard namespace.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
https://cwiki.apache.org/confluence/display/WW/S2-057
Meldung des DFN-CERT
https://adv-archiv.dfn-cert.de/adv/2018-1700/