DFN-CERT-2016-0706 Apache Software Foundation Struts: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][Unix][AIX][Windows]

DFN-CERT-2016-0706 Apache Software Foundation Struts: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes [Linux][Unix][AIX][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts <= 2.3.20 Apache Software Foundation Struts <= 2.3.24.1 Apache Software Foundation Struts <= 2.3.28 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Zwei Schwachstellen in Apache Struts 2.0.0 und höher ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes über HTTP-Anfragen, falls 'Dynamic Method Invocation' aktiviert ist, oder speziell präparierte Stylesheets, die von 'XSLTResult' verarbeitet werden. Der Hersteller veröffentlicht die Programmversion 2.3.28.1 zur Behebung der Schwachstellen und weist darauf hin, dass die Versionen 2.3.20.3 und 2.3.24.3 nicht betroffen sind. Workaround: Zur Mitigation von Schwachstelle CVE-2016-3081 kann die 'Dynamic Method Invocation' deaktiviert werden, bis das Sicherheitsupdate eingespielt werden kann. Patch: Apache Struts Security Bulletin S2-031 https://struts.apache.org/docs/s2-031.html

Patch:

Apache Struts Security Bulletin S2-032

https://struts.apache.org/docs/s2-032.html

CVE-2016-3082: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes

Die Funktion ‘XSLTResult’ verwendet Extensible Stylesheet Language
Transformations (XSLT) für die Umwandlung von Objekten in XML-Daten. Als
Eingangsparameter kann die URL einer Formatvorlage (Stylesheet) angegeben
werden, wodurch ein entfernter, nicht authentifizierter Angreifer unter
bestimmten Umständen beliebigen Programmcode ausführen kann.

CVE-2016-3081: Schwachstelle in Apache Struts ermöglicht Ausführung
beliebigen Programmcodes

Wenn die Option ‘Dynamic Method Invocation’ (DMI) aktiviert ist, können
Funktionsaufrufe für Klassen dynamisch erzeugt werden. Über den Präfix
‘method:’ in URLs kann DMI auch über HTTP-GET-Anfragen verwendet werden. Ein
entfernter, nicht authentifizierter Angreifer kann auf diese Weise
beliebigen Programmcode auf dem Server ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0706/

Schwachstelle CVE-2016-3081 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3081

Schwachstelle CVE-2016-3082 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3082

Apache Struts Security Bulletin S2-031:
https://struts.apache.org/docs/s2-031.html

Apache Struts Security Bulletin S2-032:
https://struts.apache.org/docs/s2-032.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben