Kwetsbaarheid verholpen in Apache Struts
(NCSC-2012-0006)

medium Kans medium Schade
Versie 1.00
Publicatiedatum: 11 januari 2012
Gerelateerde CVE's
Geen gerelateerde CVE id's gevonden.
Er zijn vier kwetsbaarheden gevonden in Apache Struts. Struts is een open source raamwerk om Java-based web applicaties mee te ontwikkelen. Apache heeft updates uitgebracht om de kwetsbaarheden te verhelpen.

Gevolgen

Wanneer de kwetsbaarheden worden misbruikt, kan een aanvaller mogelijk commando's uitvoeren op het kwetsbare systeem. Ook kan hij mogelijk willekeurige bestanden overschrijven.

Beschrijving

Er zijn vier kwetsbaarheden gevonden in Apache Struts, waardoor een aanvaller mogelijk commando's kan uitvoeren op het kwetsbare systeem. Ook kan hij hierdoor willekeurige bestanden overschrijven.

-Uitvoer willekeurige commando's:
ExceptionDelegator Door de manier waarop een string waarde wordt toegekend aan een integer property, wordt deze beschouwd als Object-Graph Navigation Language (OGNL) expression. De waarde wordt rechtstreeks doorgegeven aan de OGNL taal, waardoor commando's op het kwetsbare systeem kunnen worden uitgevoerd.

-Uitvoer willekeurige commando's:
CookieInterceptor In het geval van de CookieInterceptor, wordt de whitelist van parameternamen niet toegepast. Wanneer Struts is ingesteld om cookie namen te verwerken, kan een aanvaller willekeurige systeemcommando's uitvoeren.

-Overschrijven willekeurige bestanden:
ParameterInterceptor Een aanvaller kan zich toegang verschaffen tot een public constructor. Dit kan worden misbruikt om bestanden aan te maken of te overschrijven.

-Uitvoer willekeurige commando's:
DebuggingInterceptor Wanneer een applicatie wordt gedraaid in Debug modus, kan een onvolkomenheid in de DebuggingInterceptor worden misbruikt om willekeurige commando's uit te voeren.

Mogelijke oplossingen

Apache heeft Struts versie 2.3.1.1 uitgebracht om de kwetsbaarheden te verhelpen. Voor meer informatie en de download locatie, zie:
http://struts.apache.org/download.cgi#struts2311
Hyperlinks
http://struts.apache.org/2.x/docs/s2-008.html

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.