Schlagwort: Apache Corp

Wichtige Security-Updates für mehrere Produkte | heise Security

Cisco hat Sicherheitsupdates für mehrere seiner Geräte und Softwareprodukte bereitgestellt. Von einigen der hierdurch geschlossenen Lücken geht ein hohes Sicherheitsrisiko aus: Das US-CERT weist darauf hin, dass sie unter bestimmten Voraussetzungen eine Übernahme der betroffenen Geräte ermöglichen könnten. Eine Lücke stuft Cisco gar als kritisch ein. Admins sollten die notwendigen Aktualisierungen zeitnah durchführen. Eine vollständige Liste der betroffenen Produkte ist dem Sicherheitscenter des Herstellers zu entnehmen.

Denial of Service

Die kritischste Lücke (CVE-2019-1651) steckt in Ciscos SD-WAN-Lösung. Sie ermöglicht einem authentifizierten entfernten Angreifer das Herbeiführen eines Denial-of-Service, um anschließend beliebigen Code mit root-Rechten auszuführen. Betroffen ist die Cisco vSmart Controller Software in Kombination mit der SD-WAN Solution vor Version 18.4.0.

Im Security Advisory zur Lücke nennt Cisco weitere Details und weist zudem darauf hin, dass sich betroffene Kunden mit dem Support in Verbindung setzen sollen, um Hilfestellung zu erhalten — eine vorgefertigtes Update fürs Deployment auf eigene Faust steht in diesem konkreten Fall nämlich nicht bereit.

Lücken mit der Risiko-Einstufung “High” klaffen unter anderem in den Texas-Instruments-Chips CC2640 and CC2650, die in mehreren Access Points von Cisco zum Einsatz kommen, in mehreren WebEx-Komponenten, in der Identity Services Engine (ISE) sowie in den Routern RV320 and RV325.

Achtung: Updates für zwei weitere kritische Lücken

Die Liste in Ciscos Sicherheitscenter enthält noch zwei weitere Einträge mit Updates vom 11. beziehungsweise 16. Januar, die erst nach dem letzten Update-Hinweis bei heise Security bereitgestellt wurden. Sie betreffen die Commons FileUpload Library von Apache Struts sowie die Software Small Business Switches. Auch diese Lücken gelten als kritisch, so dass Anwender wiederum zeitnah handeln sollten.

(ovw)

Source

Categories: Sicherheit

Tags:

Exploit für kritische Lücke aufgetaucht | heise Security

Apache Struts: Exploit für kritische Lücke aufgetaucht


Alert!

28.08.2018 13:11 Uhr
Fabian A. Scherschel

Apache Struts: Exploit für kritische Lücke aufgetaucht

Ein Exploit für eine kritische Sicherheitslücke in Apache Struts macht es einfach, mit Struts betriebene Webseiten zu kapern.

(Bild: Mazin Ahmed )

Admins von Webseiten, die Apache Struts nutzen, sollten dringendst prüfen, ob sie Updates für eine vor kurzem entdeckte Sicherheitslücke eingespielt haben.

Für die kritische Sicherheitslücke in Apache Struts, die vergangene Woche bekannt wurde, ist ein Exploit aufgetaucht. Damit wird es für Administratoren, die Struts im Einsatz haben, nun allerhöchste Zeit sicherzustellen, dass sie die entsprechenden Updates eingespielt haben. Die Erfahrung vergangener Struts-Lücken zeigt, dass Angreifer verwundbare Webseiten schnell finden und gerne angreifen. Unter anderem wurde der US-amerikanische Finanzdienstleister Equifax in der Vergangenheit auf spektakuläre Weise Opfer einer ungepatchten Struts-Lücke.

Der Struts-Exploit in Aktion

(Bild: Mazin Ahmed )

Installationen von Apache Struts sollten also umgehend auf die abgesicherten Versionen 2.3.35 oder 2.5.17 aktualisiert werden. Alle Informationen, wie das zu bewerkstelligen ist, finden sich in der Sicherheitsmeldung der Apache Software Foundation. Herauszufinden, ob nicht mehr im Support befindliche Struts-Versionen angreifbar sind, ist etwas komplizierter. Hinweise dazu hat die Sicherheitsfirma zusammengestellt, welche die Struts-Lücke CVE-2018-11776 entdeckt hatte.

Apache Struts ist ein quelloffenes Jave-Framework für das Entwickeln und Bereitstellen von Web-Applikationen. Die vergangene Woche veröffentlichte Sicherheitslücke ermöglicht es, Schadcode über Eingaben in Struts-Web-Apps auszuführen. Das Framework validiert Nutzereingaben nicht ausreichend, um dies zu verhindern.

(fab)

Source

Categories: Sicherheit

Tags:

Neue Lücke in Apache Struts heise Security

Neue Lücke in Apache Struts – jetzt patchen


Alert!

22.08.2018 15:28 Uhr
Jürgen Schmidt

Neue Lücke in Apache Struts - jetzt patchen

Ein Sicherheits-Update für Apache Struts beseitigt eine höchst gefährliche Lücke, die das Einschleusen und Ausführen von bösartigem Code erlaubt.

Die Apache Software Foundation stellt aktualisierte Versionen von Apache Struts 2 bereit, die eine Remote-Code-Execution-Lücke beseitigen. Das ist die oberste Gefahrenstufe insbesondere für Web-Anwendungen, zu denen jedermann Zugang hat und die sich leicht aufspüren lassen. Zu den letzten Struts-Lücken gab es innerhalb eines Tages öffentlich verfügbare Demo-Exploits; der spektakuläre Einbruch beim US-amerikanischen Finanzdienstleister Equifax gelang über eine nicht gepatchte Struts-Installation.

Das zeigt, wie wichtig es ist, die Software auf Struts 2.3.35 oder Struts 2.5.17 zu aktualisieren. Da die neuen Versionen lediglich dieses eine Sicherheitsproblem beseitigen, rechnen sie nicht mit Problemen beim Update, erklären die Entwickler in Ihrem Struts-Sicherheits-Advisory S2-057. Allerdings könnten nicht mehr supportete Struts-Versionen ebenfalls betroffen sein. Ob eine konkrete Struts-Applikation anfällig ist, hängt von Konfiguration und Architektur der Installation ab, erläutern die Security-Experten von Semmle Research, die das Problem entdeckt haben.

Apache Struts ist ein Open-Source-Framework für das Entwickeln und Bereitstellen von Web-Applikationen in Java. Die Lücke CVE-2018-11776 beruht darauf, dass das Framework Input nicht ausreichend validiert, wenn kein Namespace oder ein Wildcard-Namespace gesetzt ist. Der Entdecker Man Yue Mo beschreibt in einem eigenen Blog-Beitrag, wie er dieses Problem aufgespürt hat. Er hatte es dann am 10. April dem Apache-Struts-Security-Team gemeldet.

(ju)

Source

Categories: Sicherheit

Tags: