Af Torben B. Sørensen, 07/09/17
Angrebsprogrammer, der udnytter et nyt sikkerhedshul i Struts, er tilgængelige på nettet.
Udviklerne af Apache Struts har lukket tre sikkerhedshuller. Et af dem er kritisk, idet angribere kan udnytte REST-pluginnet til at afvikle skadelig programkode.
Flere angrebsprogrammer, der udnytter sårbarheden, er lagt ud på nettet.
Sårbarheden ligger i deserialization i Java.
En række store virksomheder anvender Struts og er dermed mulige angrebsmål.
Fejlene er rettet i Apache Struts 2.5.13.
Anbefaling
Opdater til Apache Struts 2.5.13.
Links
- 05 September 2017 - Struts 2.5.13 General Availability
- Using QL to find a remote code execution vulnerability in Apache Struts (CVE-2017-9805), blogindlæg af Man Yue Mo
- New Apache Struts Vulnerability Puts Many Fortune Companies at Risk, artikel fra Bleeping Computer
- Exploit Available for Critical Apache Struts Vulnerability, artikel fra SecurityWeek
- Patch Released for Critical Apache Struts Bug, artikel fra Kaspersky Threatpost
- Apache Struts you're stuffed: Vuln allows hackers to inject evil code into biz servers, artikel fra The Register
- A critical Apache Struts security flaw makes it 'easy' to hack Fortune 100 firms, artikel fra ZDNet