The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.09.2017 08:12  Критическая уязвимость в Apache Struts

Опубликовано обновление web-фреймворка Apache Struts 2.5.13, применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В состав выпуска включено исправление критической уязвимости (CVE-2017-9805), позволяющей выполнить код на стороне сервера. Атака может быть проведена через отправку специально оформленного HTTP-запроса. Уязвимость проявляется при использовании плагина REST с обработчиком XStream для десериализации XML-блоков (применяется по умолчанию).

Пользователям рекомендуется как можно скорее установить исправление, так как не исключено повторение весенней массированной атаки на корпоративные сети, в которых применяются приложения на базе Apache Struts. По статистике около 65% компаний из списка Fortune 100 используют приложения на базе Struts и почти во всех подобных корпоративных приложениях используется плагин REST. В частности, системы на базе Apache Struts применяются в таких компаниях, как Lockheed Martin, the IRS, Citigroup, Vodafone, Virgin Atlantic, Reader’s Digest, Office Depot и SHOWTIME.

С учётом распространённости Apache Struts в корпоративной среде для создания публичных web-сервисов (например Struts используется во многих банковских службах и системах бронирования авиабилетов), ущерб от эксплуатации уязвимости может быть очень значительным. Например, руководитель службы безопасности одного из американских банков первого уровня считает, что атаки на Apache Struts представляют большую угрозу, чем уязвимость POODLE в SSL.

Проблема присутствует в коде десериализации внешних данных, затрагивает все версии Apache Struts, выпущенные с 2008 года. Уязвимость пока остаётся неисправленной в дистрибутивах Debian, EPEL-7, UbuntuSUSE, Fedora и RHEL Struts 2 не поставляется). Если нет возможности обновить версию Struts в качестве обходного пути блокирования уязвимости предлагается удалить плагин Struts REST. В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате атаки сразу может быть получен root-доступ к системе.

  1. Главная ссылка к новости (https://lgtm.com/blog/apache_s...)
  2. OpenNews: Волна взломов сайтов через неисправленную уязвимость в Apache Struts
  3. OpenNews: Опасные уязвимости в Apache Struts, Django и Adobe Flash Player
  4. OpenNews: Объявление о прекращении поддержки web-фреймворка Apache Struts 1
  5. OpenNews: В Apache Struts 2.0.12 исправлены две серьезные уязвимости
  6. OpenNews: Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, struts
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.9, Аноним (-), 10:27, 06/09/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    > В случае если web-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root.

    95%

     
     
  • 2.13, Аноним (-), 11:47, 06/09/2017 [^] [ответить]     [к модератору]
  • +2 +/
    Недавно один провайдер VDS VPS переносил виртуалки на другое оборудование, у н... весь текст скрыт [показать]
     
     
  • 3.14, Crazy Alex (ok), 12:04, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну, вот как раз для вебовской VDS разница невелика - рута поломают или простого ... весь текст скрыт [показать]
     
     
  • 4.16, пох (?), 12:09, 06/09/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    это если в нее не понапихано стотыщ дерьмохостингов разом А оно обычно так и де... весь текст скрыт [показать]
     
     
  • 5.18, Аноним (-), 12:19, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    ИМХО тут вопрос в попадании под массовую раздачу автоматическими скриптами или н... весь текст скрыт [показать]
     
     
  • 6.20, пох (?), 12:23, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    ну опять же - а что за д л писал автоматический скрипт Если он хотел просто сп... весь текст скрыт [показать]
     
     
  • 7.40, Аноним (-), 01:55, 14/09/2017 [^] [ответить]    [к модератору]  
  • +/
    > ну опять же - а что за д..л писал автоматический скрипт?

    Возможно достаточно примитивный и просто желавший денег без особых усилий.

     
  • 5.19, Crazy Alex (ok), 12:21, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Кхх, стотыщ дерьмохостингов на одной vds - сейчас так вообще ещё бывает Занятно... весь текст скрыт [показать]
     
     
  • 6.22, пох (?), 12:32, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    атож щас посчитал - на моей домашнестраничилке 61 штук А это ж даже не бизн... весь текст скрыт [показать]
     
  • 4.17, Аноним (-), 12:14, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    В смысле поломают рута У вас ничего от рута не работает, 10-к сайтов с базами д... весь текст скрыт [показать]
     
     
  • 5.21, Crazy Alex (ok), 12:28, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Обычно всё, что интересует взломщика - это сервить трояна, перехватывать пароли ... весь текст скрыт [показать]
     
     
  • 6.28, Аноним (-), 13:53, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Обычно всегда одна vds 800р без стоимости рук, это вроде не много, но и мик... весь текст скрыт [показать]
     
  • 3.24, Аноним (-), 12:37, 06/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > слетели права на папки
    > а наша система оказалась чувствительной к семне прав.

    Это потому что вы, вендузоеды, только про папки думаете, а мамки игнорируете.

     
     
  • 4.29, Аноним (-), 13:54, 06/09/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    а вас в какой каталог занести ... весь текст скрыт [показать]
     
  • 2.15, пох (?), 12:06, 06/09/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    причем оставшиеся пять совершенно не понимают, зачем они это делают - вычитали в... весь текст скрыт [показать]
     
     
  • 3.23, Crazy Alex (ok), 12:34, 06/09/2017 [^] [ответить]     [к модератору]  
  • +/
    Хм, я вот согласен, но для разнообразия - вот альтернативы 1 случай, когда соб... весь текст скрыт [показать]
     
     
  • 4.26, пох (?), 13:23, 06/09/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    ну, какие-то они все теоретические На практике - struts штука тяжелая ибо жабо... весь текст скрыт [показать]
     
     
  • 5.27, Crazy Alex (ok), 13:30, 06/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Да я по поводу рассказа о VDS и руте говорил, struts - тут да, всё понятно. Хотя для него вариант "тихо сидеть руткитом и собирать данные" резко становится интересным.
     
  • 1.31, _ (??), 16:36, 06/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Жаба безопасная! (С) Квааа
     
     
  • 2.32, виндотролль (ok), 17:17, 06/09/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Да врали все пацаны. Из джавы можно даже rm -rf сделать. От рута.
     
  • 2.33, Аноним (-), 19:45, 06/09/2017 [^] [ответить]    [к модератору]  
  • +/
    Жаба не течёт, лиса не тормозит, хромой не пухнет, плазма не падает, пульса не икает.
     
  • 2.35, Очередной аноним (?), 09:29, 07/09/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    и такие люди как ты называют себя инженерами... Причем тут жаба? Какой-то плагин в каком-то левом фреймворке (да, да, fortune 100) написанный криворукими (или невыспавшимися) быдлoкодерами принимает извне какой-то сериализованный объект, десериализует его на сервере и не анализируя что это за ява-класс без проверок запускает в работу. Ну чо, конечно ява виновата, не фреймворк. Ява должна была обрубать все такие возможности (сериализация/десериализация, RPC да и вообще работу с сетью и файловой системой) чтобы быдлoкодеры не могли левые фреймворки на ней писАть. Разрешить только цифры складывать. Ладно, ладно, еще и вычитать разрешим. Ой, а ну как переполнение будет. Нет, арифметику тоже запретим.
     
     
  • 3.36, пох (?), 15:30, 07/09/2017 [^] [ответить]    [к модератору]  
  • +/
    > Причем тут жаба?

    при том, что жабоеды так пели, так пели - "у нас так не бывает, у нас язык нас страхует от ужасов указателей (других-то ужасов давно не бывает), у нас gc, у нас круто, а все остальные устарели на стодесять лет и им место на свалке"

    мы им аж верить иногда начинали... потом, правда, слегка отпускало, и снова пробивало на ржач.

    > Ява должна была обрубать все такие возможности

    а чо, нет, оказываетсо? героической победы над указателями недостаточно? А как дысал, как дысал...

     
     
  • 4.37, лютый жабист__ (?), 11:24, 08/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >жабоеды так пели

    Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а на несколько уровней выше в одном из 20 web-фреймворков.

    Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы JSF.

     
     
  • 5.38, Andrey Mitrofanov (?), 11:50, 08/09/2017 [^] [ответить]    [к модератору]  
  • +/
    >>жабоеды так пели
    > Как у сишкиных подгарает, что это НЕ уязвимость в жабке 8)))) а
    > на несколько уровней выше в одном из 20 web-фреймворков.
    > Кто-то готов озвучить аналоги Struts на могучих сях? :)))) Или хотя бы
    > JSF.

    Конечно готов! _Озвучить_. Но ты медленный. В соседней https://www.opennet.ru/openforum/vsluhforumID3/112178.html#0 [если меня склероз не обманывает] уже и озвучили, и модераторы потёрли, "пишу, мол, на C++14 -- web20 фрымворк".

    Поспрашай там  --  тебе ответят[I]!

     
     
  • 6.39, лютый жабист__ (?), 13:56, 08/09/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >пишу, мол, на C++14 -- web20 фрымворк

    Сишники опять на 10 лет опоздали. JSF уже написали, причём  13 лет назад. ХЗ про веб2нольность в первых версиях, но несколько лет этому добру уже точно есть.
    Промышленное качество, куча внедрений. ;) Я думаю, сишники к появлению web5.0 напишут этот свой "web20 фрымворк на C++14", а там опять переписывать на c++27 и web5.0 :)

     
  • 1.34, Аноним (-), 08:04, 07/09/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    небезопасная десериализация XML
    https://www.youtube.com/watch?v=mdS4DnjpMkg
    вот она какая эта безопасная джаба
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor