Schlagwort: Equifax Inc

Exploit für kritische Lücke aufgetaucht | heise Security

Apache Struts: Exploit für kritische Lücke aufgetaucht


Alert!

28.08.2018 13:11 Uhr
Fabian A. Scherschel

Apache Struts: Exploit für kritische Lücke aufgetaucht

Ein Exploit für eine kritische Sicherheitslücke in Apache Struts macht es einfach, mit Struts betriebene Webseiten zu kapern.

(Bild: Mazin Ahmed )

Admins von Webseiten, die Apache Struts nutzen, sollten dringendst prüfen, ob sie Updates für eine vor kurzem entdeckte Sicherheitslücke eingespielt haben.

Für die kritische Sicherheitslücke in Apache Struts, die vergangene Woche bekannt wurde, ist ein Exploit aufgetaucht. Damit wird es für Administratoren, die Struts im Einsatz haben, nun allerhöchste Zeit sicherzustellen, dass sie die entsprechenden Updates eingespielt haben. Die Erfahrung vergangener Struts-Lücken zeigt, dass Angreifer verwundbare Webseiten schnell finden und gerne angreifen. Unter anderem wurde der US-amerikanische Finanzdienstleister Equifax in der Vergangenheit auf spektakuläre Weise Opfer einer ungepatchten Struts-Lücke.

Der Struts-Exploit in Aktion

(Bild: Mazin Ahmed )

Installationen von Apache Struts sollten also umgehend auf die abgesicherten Versionen 2.3.35 oder 2.5.17 aktualisiert werden. Alle Informationen, wie das zu bewerkstelligen ist, finden sich in der Sicherheitsmeldung der Apache Software Foundation. Herauszufinden, ob nicht mehr im Support befindliche Struts-Versionen angreifbar sind, ist etwas komplizierter. Hinweise dazu hat die Sicherheitsfirma zusammengestellt, welche die Struts-Lücke CVE-2018-11776 entdeckt hatte.

Apache Struts ist ein quelloffenes Jave-Framework für das Entwickeln und Bereitstellen von Web-Applikationen. Die vergangene Woche veröffentlichte Sicherheitslücke ermöglicht es, Schadcode über Eingaben in Struts-Web-Apps auszuführen. Das Framework validiert Nutzereingaben nicht ausreichend, um dies zu verhindern.

(fab)

Source

Categories: Sicherheit

Tags:

Neue Lücke in Apache Struts heise Security

Neue Lücke in Apache Struts – jetzt patchen


Alert!

22.08.2018 15:28 Uhr
Jürgen Schmidt

Neue Lücke in Apache Struts - jetzt patchen

Ein Sicherheits-Update für Apache Struts beseitigt eine höchst gefährliche Lücke, die das Einschleusen und Ausführen von bösartigem Code erlaubt.

Die Apache Software Foundation stellt aktualisierte Versionen von Apache Struts 2 bereit, die eine Remote-Code-Execution-Lücke beseitigen. Das ist die oberste Gefahrenstufe insbesondere für Web-Anwendungen, zu denen jedermann Zugang hat und die sich leicht aufspüren lassen. Zu den letzten Struts-Lücken gab es innerhalb eines Tages öffentlich verfügbare Demo-Exploits; der spektakuläre Einbruch beim US-amerikanischen Finanzdienstleister Equifax gelang über eine nicht gepatchte Struts-Installation.

Das zeigt, wie wichtig es ist, die Software auf Struts 2.3.35 oder Struts 2.5.17 zu aktualisieren. Da die neuen Versionen lediglich dieses eine Sicherheitsproblem beseitigen, rechnen sie nicht mit Problemen beim Update, erklären die Entwickler in Ihrem Struts-Sicherheits-Advisory S2-057. Allerdings könnten nicht mehr supportete Struts-Versionen ebenfalls betroffen sein. Ob eine konkrete Struts-Applikation anfällig ist, hängt von Konfiguration und Architektur der Installation ab, erläutern die Security-Experten von Semmle Research, die das Problem entdeckt haben.

Apache Struts ist ein Open-Source-Framework für das Entwickeln und Bereitstellen von Web-Applikationen in Java. Die Lücke CVE-2018-11776 beruht darauf, dass das Framework Input nicht ausreichend validiert, wenn kein Namespace oder ein Wildcard-Namespace gesetzt ist. Der Entdecker Man Yue Mo beschreibt in einem eigenen Blog-Beitrag, wie er dieses Problem aufgespürt hat. Er hatte es dann am 10. April dem Apache-Struts-Security-Team gemeldet.

(ju)

Source

Categories: Sicherheit

Tags: