The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.09.2017 08:12  Критическая уязвимость в Apache Struts

Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию).

Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки на корпоративные сети, в которых применяются приложения на базе Apache Struts. По статистике около 65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST. В частности, системы на базе Apache Struts применяются в таких компаниях, как Lockheed Martin, the IRS, Citigroup, Vodafone, Virgin Atlantic, Reader’s Digest, Office Depot и SHOWTIME.

С учётом распространённости Apache Struts в корпоративной среде для создания публичных web-сервисов (например Struts используется во многих банковских службах и системах бронирования авиабилетов), ущерб от эксплуатации уязвимости может быть очень значительным. Например, руководитель службы безопасности одного из американских банков первого уровня считает, что атаки на Apache Struts представляют большую угрозу, чем уязвимость POODLE в SSL.

Проблема присутствует в коде десериализации внешних данных, затрагивает все версии Apache Struts, выпущенные с 2008 года. Уязвимость пока остаётся неисправленной в дистрибутивах Debian, EPEL-7, UbuntuSUSE, Fedora и RHEL Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST. В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате атаки сразу может быть получен root-доступ к системе.

  1. Главная ссылка к новости (https://lgtm.com/blog/apache_s...)
  2. OpenNews: Волна взломов сайтов через неисправленную уязвимость в Apache Struts
  3. OpenNews: Опасные уязвимости в Apache Struts, Django и Adobe Flash Player
  4. OpenNews: Объявление о прекращении поддержки web-фреймворка Apache Struts 1
  5. OpenNews: В Apache Struts 2.0.12 исправлены две серьезные уязвимости
  6. OpenNews: Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, struts
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.9, Аноним, 10:27, 06/09/2017 [ответить] [смотреть все]
  • +1 +/
    95 ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 11:47, 06/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Недавно один провайдер VDS VPS переносил виртуалки на другое оборудование, у н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Crazy Alex, 12:04, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого ... весь текст скрыт [показать]
     
     
  • 4.16, пох, 12:09, 06/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    это если в нее не понапихано стотыщ дерьмохостингов разом А оно обычно так и де... весь текст скрыт [показать]
     
     
  • 5.18, Аноним, 12:19, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или н... весь текст скрыт [показать]
     
     
  • 6.20, пох, 12:23, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ну опять же - а что за д л писал автоматический скрипт Если он хотел просто сп... весь текст скрыт [показать]
     
     
  • 7.40, Аноним, 01:55, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Возможно достаточно примитивный и просто желавший денег без особых усилий ... весь текст скрыт [показать]
     
  • 5.19, Crazy Alex, 12:21, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает Занятно... весь текст скрыт [показать]
     
     
  • 6.22, пох, 12:32, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    атож щас посчитал - на моей домашнестраничилке 61 штук А это ж даже не бизн... весь текст скрыт [показать]
     
  • 4.17, Аноним, 12:14, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    В смысле поломают рута У вас ничего от рута не работает, 10-к сайтов с базами д... весь текст скрыт [показать]
     
     
  • 5.21, Crazy Alex, 12:28, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли ... весь текст скрыт [показать]
     
     
  • 6.28, Аноним, 13:53, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Обычно всегда одна vds 800р без стоимости рук, это вроде не много, но и мик... весь текст скрыт [показать]
     
  • 3.24, Аноним, 12:37, 06/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете ... весь текст скрыт [показать]
     
     
  • 4.29, Аноним, 13:54, 06/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    а вас в какой каталог занести ... весь текст скрыт [показать]
     
  • 2.15, пох, 12:06, 06/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Crazy Alex, 12:34, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Хм, я вот согласен, но для разнообразия - вот альтернативы 1 случай, когда соб... весь текст скрыт [показать]
     
     
  • 4.26, пох, 13:23, 06/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    ну, какие-то они все теоретические На практике - struts штука тяжелая ибо жабо... весь текст скрыт [показать]
     
     
  • 5.27, Crazy Alex, 13:30, 06/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно Хотя... весь текст скрыт [показать]
     
     ....нить скрыта, показать (17)

  • 1.31, _, 16:36, 06/09/2017 [ответить] [смотреть все]  
  • –1 +/
    Жаба безопасная! (С) Квааа
     
     
  • 2.32, виндотролль, 17:17, 06/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.
     
  • 2.33, Аноним, 19:45, 06/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не и... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Очередной аноним, 09:29, 07/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    и такие люди как ты называют себя инженерами Причем тут жаба Какой-то плагин... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, пох, 15:30, 07/09/2017 [^] [ответить] [смотреть все]  
  • +/
    при том, что жабоеды так пели, так пели - у нас так не бывает, у нас язык нас с... весь текст скрыт [показать]
     
     
  • 4.37, лютый жабист__, 11:24, 08/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8 а на несколько уро... весь текст скрыт [показать]
     
     
  • 5.38, Andrey Mitrofanov, 11:50, 08/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Конечно готов _Озвучить_ Но ты медленный В соседней http www opennet ru ope... весь текст скрыт [показать]
     
     
  • 6.39, лютый жабист__, 13:56, 08/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Сишники опять на 10 лет опоздали JSF уже написали, причём 13 лет назад ХЗ про... весь текст скрыт [показать]
     
  • 1.34, Аноним, 08:04, 07/09/2017 [ответить] [смотреть все]  
  • +/
    небезопасная десериализация XML https www youtube com watch v mdS4DnjpMkg вот ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor