Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1554 Apache Software Foundation Struts: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Unix][AIX][Windows][Netzwerk][Cisco]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 7 (14.09.2017):
Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den
Schwachstellen betroffene Produkte. Cisco Unified Contact Center
Enterprise 9.0(4) (siehe auch Bug ID CSCvf86098) ist demnach ebenfalls
insbesondere auch von der als 'kritisch' bewerteten Schwachstelle
CVE-2017-9805 betroffen. Sicherheitsupdates sind derzeit immer noch
'pending'.
Version 6 (13.09.2017):
Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den
Schwachstellen betroffene Produkte. Cisco Hosted Collaboration Solution
for Contact Center 10.5(1), 11.0(1), 11.5(1) und 11.6(1) (siehe auch Bug
ID CSCvf86143) ist demnach ebenfalls insbesondere auch von der als
'kritisch' bewerteten Schwachstelle CVE-2017-9805 betroffen.
Sicherheitsupdates sind derzeit noch nicht 'pending'.
Version 5 (12.09.2017):
Cisco aktualisiert beide Sicherheitsmeldungen und nennt darin von den
Schwachstellen betroffene Produkte. Cisco Unified Contact Center
Enterprise und Cisco Unified Intelligent Contact Management Enterprise
sind in den Versionen 10.5(1), 11.0(1), 11.5(1) und 11.6(1) (siehe auch
Bug ID CSCvf86098) insbesondere auch von der kritischen Schwachstelle
CVE-2017-9805 betroffen. Die Schwachstelle CVE-2017-12611 betrifft Cisco
Hosted Collaboration Solution for Contact Center 10.5(1), 11.0(1), 11.5(1)
und 11.6(1) (siehe auch Bug ID CSCvf90001) sowie Cisco Unified Contact
Center Enterprise und Cisco Unified Intelligent Contact Management
Enterprise in den Versionen 10.5(3), 10.5(3)ES, 11.0(2), 11.0(2)ES,
11.5(1), 11.5(1)ES, 11.6(1) und 11.6(1)ES (siehe auch Bug ID CSCvf89964).
Sicherheitsupdates sind derzeit noch nicht verfügbar.
Version 4 (11.09.2017):
Cisco informiert in der Sicherheitsmeldung cisco-sa-20170909-struts2-rce
über eine am 7. September von der Apache Software Foundation
veröffentlichten Schwachstelle in der Freemarker Tag Funktionalität von
Apache Struts 2, das von zahlreichen Cisco-Produkten verwendet wird.
Momentan untersucht Cisco alle fraglichen Produktlinien daraufhin, ob
diese durch die Schwachstelle verwundbar sind und kündigt an, die
Sicherheitsmeldung zu aktualisieren, sobald neuere Erkenntnisse bezüglich
verwundbarer und nicht verwundbarer Produkte vorliegen. Zum gegenwärtigen
Zeitpunkt ist kein Produkt als verwundbar gegenüber CVE-2017-12611
bekannt.
Version 3 (08.09.2017):
Cisco informiert in einer Sicherheitsmeldung über die drei am 5. September
von der Apache Software Foundation veröffentlichten Schwachstellen in
Apache Struts. Zahlreiche Cisco-Produkte beinhalten eine Version des
Paketes Apache Struts 2, welches von diesen Schwachstellen betroffen ist.
Momentan untersucht Cisco alle fraglichen Produktlinien daraufhin, ob
diese durch die Schwachstellen verwundbar sind. Besonderes Augenmerk liegt
bei der Untersuchung auf der als kritisch eingestuften Schwachstelle
CVE-2017-9805 (Apache Struts REST plug-in XML processing arbitrary code
execution vulnerability). Cisco kündigt an, die Sicherheitsmeldung zu
aktualisieren, sobald neuere Erkenntnisse bezüglich verwundbarer und nicht
verwundbarer Produkte vorliegen. Zum gegenwärtigen Zeitpunkt ist kein
Produkt als verwundbar gegenüber CVE-2017-9805 bekannt, es werden jedoch
bereits eine Reihe von Produkte als nicht verwundbar gegenüber den drei
genannten Schwachstellen aufgelistet.
Version 2 (07.09.2017):
Der Hersteller informiert mit Apache Struts Security Bulletin S2-053 über
eine weitere 'Remote-Code-Execution' (RCE)-Schwachstelle (CVE-2017-12611),
von der Apache Struts in den Versionen 2.0.1 bis 2.3.33 und in den
Versionen 2.5 bis 2.5.10 betroffen ist, und stellt die Version 2.3.34 als
'General Availability' (GA) Sicherheitsupdate zur Verfügung. Daraus kann
geschlossen werden, dass diese Schwachstelle im 2.5er-Zweig auch bereits
zuvor geschlossen wurde.

Ferner ist nun aus den entsprechenden Bulletins ersichtlich, dass zudem
die Denial-of-Service (DoS)-Schwachstelle CVE-2017-9804 auch Apache Struts
2.3.7 bis 2.3.33 betrifft und die 'Remote-Code-Execution'
(RCE)-Schwachstelle CVE-2017-9805 auch die Versionen 2.1.2 bis 2.3.33. Für
letztere wurden inzwischen mehrere Proof-of-Concept-Exploits
veröffentlicht, inklusive eines dedizierten Metasploit Framework Modules,
weshalb von einem hohen Ausnutzungsrisiko ausgegangen werden muss.
Version 1 (05.09.2017):
Neues Advisory

Betroffene Software:

Apache Software Foundation Struts >= 2.0.1
Apache Software Foundation Struts < 2.3.34
Apache Software Foundation Struts >= 2.5
Apache Software Foundation Struts < 2.5.13
Cisco Hosted Collaboration Solution 10.5(1)
Cisco Hosted Collaboration Solution 11.0(1)
Cisco Hosted Collaboration Solution 11.5(1)
Cisco Hosted Collaboration Solution 11.6(1)
Cisco Unified Contact Center Enterprise 9.0(4)
Cisco Unified Contact Center Enterprise 10.5(3)
Cisco Unified Contact Center Enterprise 10.5(3)ES
Cisco Unified Contact Center Enterprise 11.0(2)
Cisco Unified Contact Center Enterprise 11.0(2)ES
Cisco Unified Contact Center Enterprise 11.5(1)
Cisco Unified Contact Center Enterprise 11.5(1)ES
Cisco Unified Contact Center Enterprise 11.6(1)
Cisco Unified Contact Center Enterprise 11.6(1)ES


Betroffene Plattformen:

Cisco Hardware
GNU/Linux
IBM AIX
Microsoft Windows



Mehrere Schwachstellen in Apache Struts ermöglichen einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes und die
Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

Der Hersteller informiert darüber, dass Apache Struts in den Versionen 2.5
bis 2.5.12 von den Schwachstellen betroffen ist und stellt die Version
2.5.13 als 'General Availability' (GA) Sicherheitsupdate zur Verfügung. Die
Denial-of-Service (DoS)-Schwachstelle CVE-2017-9793 betrifft auch Struts
2.3.7 bis 2.3.33, die Version 2.3.34 wurde bisher noch nicht veröffentlicht.


Patch:

Apache Struts 2.5.13 GA Release Notes

<https://struts.apache.org/announce.html#a20170905>

Patch:

Apache Struts 2.3.34 GA Release Notes

<https://struts.apache.org/announce.html#a20170907>


CVE-2017-12611: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes

In Apache Struts existiert eine Schwachstelle, wenn 'Expression Literals'
oder 'Forcing Expression' in Freemarker Tags sowie Anfragewerte (Request
Values) verwendet werden. Diese Schwachstelle ermöglicht einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen.


CVE-2017-9805: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes

In Apache Struts existiert eine Schwachstelle, wenn das Struts REST Plugin
zusammen mit dem XStream Handler mit einer Instanz von XStream ohne
irgendeine Art von Typenfilterung zur Deserialisierung von XML Anfragen
verwendet wird. Diese ermöglicht es einem entfernten, nicht authentisierten
Angreifer beliebigen Programmcode bei der Deserialisierung von XML Payloads
zur Ausführung zu bringen.


CVE-2017-9804: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff

Der vorherige Fix für S2-047 (CVE-2017-7672) hat sich als unvollständig
herausgestellt. Diese Schwachstelle existiert in Apache Struts, wenn der
eingebaute 'URLValidator' verwendet wird. Dies ermöglicht einem entfernten,
nicht authentisierten Angreifer über eine präparierte URL, welche er in ein
Formularfeld einträgt, den Serverprozess bei der Durchführung der
Validierung zu überlasten und dadurch einen Denial-of-Service (DoS)-Zustand
zu bewirken.


CVE-2017-9793: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff

In Apache Struts existiert eine nicht näher beschriebene Schwachstelle, wenn
die veraltete XStream-Bibliothek zusammen mit dem Struts REST Plugin
verwendet wird. Diese ermöglicht es einem entfernten, nicht authentisierten
Angreifer mit Hilfe schädlicher Anfragen mit speziell präparierter
XML-Payload einen Denial-of-Service (DoS)-Angriff durchzuführen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1554/>

Apache Struts 2.5.13 GA Release Notes:
<https://struts.apache.org/announce.html#a20170905>

Apache Struts Security Bulletin S2-050:
<https://struts.apache.org/docs/s2-050.html>

Apache Struts Security Bulletin S2-051:
<https://struts.apache.org/docs/s2-051.html>

Apache Struts Security Bulletin S2-052:
<https://struts.apache.org/docs/s2-052.html>

Schwachstelle CVE-2017-9793 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9793>

Schwachstelle CVE-2017-9804 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9804>

Schwachstelle CVE-2017-9805 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9805>

Apache Struts 2.3.34 GA Release Notes:
<https://struts.apache.org/announce.html#a20170907>

Apache Struts Security Bulletin S2-053:
<https://struts.apache.org/docs/s2-053.html>

Schwachstelle CVE-2017-12611 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-12611>

Cisco Security Advisory cisco-sa-20170907-struts2:
<https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170907-struts2>

Cisco Security Advisory cisco-sa-20170909-struts2-rce (CVE-2017-12611):
<https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170909-struts2-rce>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.