DFN-CERT-2015-0663 Apache Software Foundation Struts: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Windows]

DFN-CERT-2015-0663 Apache Software Foundation Struts: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts <= 2.3.20 Betroffene Plattformen: GNU/Linux Microsoft Windows Eine Schwachstelle in Struts ermöglicht einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Zur Behebung der Schwachstelle steht ein Update auf die Version Struts 2.3.20.1 bereit. Workaround: Wenn ein Update auf die Version 2.3.20.1 nicht möglich ist, wird die erneute Definition des defaultStack in der Datei struts-default.xml, wie im Security Bulletin S2-024 beschrieben, empfohlen. Patch: Apache Struts Security Bulletin S2-024 https://cwiki.apache.org/confluence/display/WW/S2-024

CVE-2015-1831: Schwachstelle in Struts ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der Konfiguration von Struts führt dazu, dass falsche
Ausschlussparameter definiert werden. Dadurch ist es möglich die
Ausschlussparameter, die in der Funktion DefaultExcludedPatternsChecker
definiert sind, zu überschreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0663/

Apache Struts Security Bulletin S2-024:
https://cwiki.apache.org/confluence/display/WW/S2-024

Schwachstelle CVE-2015-1831 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1831

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben