DFN-CERT-2016-1018 Apache Struts: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora]

DFN-CERT-2016-1018 Apache Struts: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts >= 1.0
Apache Software Foundation Struts <= 1.3.10 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Zwei Schwachstellen in der Klasse 'ActionForm' in Apache Struts bis Version 1.3.10 ermöglichen einem entfernten, nicht authentifizierten Angreifer verschiedene, von der betroffenen Webanwendung abhängige Angriffe. Unter anderem sind die Ausführung beliebigen Programmcodes und Cross-Site-Scripting (XSS)-Angriffe denkbar. Für Fedora 23 und 24 stehen Backport-Sicherheitsupdates für Apache Struts 1.3.10 bereit. Der Hersteller stellt seit April 2013 keine Sicherheitsupdates mehr zur Verfügung (End-of-life). Patch: Fedora Security Update FEDORA-2016-21bd6a33af (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2016-21bd6a33af

Patch:

Fedora Security Update FEDORA-2016-d717fdcf74 (Fedora 24)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-d717fdcf74

CVE-2016-1182: Schwachstelle in Apache Struts ermöglicht
Cross-Site-Scripting-Angriff

Falls ‘ValidatorForm’ oder ‘ValidatorActionForm’ sich im Session Scope
befinden, kann ein entfernter, nicht authentifizierter Angreifer eine
Schwachstelle ausnutzen, um die Konfiguration der Eingangsdatenvalidierung
zu ändern. Dazu gehören beispielsweise Validierungsregeln und
Fehlermeldungen. Der Angreifer kann dadurch einen
Cross-Site-Scripting-Angriff (XSS) ausführen.

CVE-2016-1181: Schwachstelle in Apache Struts ermöglicht u.a. Ausführung
beliebigen Programmcodes

Die Klasse ‘ActionForm’ zur Behandlung von Webformularen in Apache Struts
enthält eine Schwachstelle, wenn mehrere Prozesse, die die gleiche Session
verarbeiten, auf die gleiche ‘ActionForm’-Instanz zugreifen und
Multi-Part-Anfragen verarbeitet werden können. Ein entfernter, nicht
authentifizierter Angreifer erhält dadurch Zugriff auf Komponenten wie
Servlets und ClassLoader im Serverspeicher und kann dadurch abhängig von der
Architektur der betroffenen Webanwendung verschiedene Angriffe durchführen.
Unter anderem sind ein Denial-of-Service-Angriff, das Ausspähen von
Informationen und die Ausführung beliebigen Programmcodes denkbar.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1018/

Schwachstelle CVE-2016-1181 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1181

Schwachstelle CVE-2016-1182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1182

Fedora Security Update FEDORA-2016-21bd6a33af (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-21bd6a33af

Fedora Security Update FEDORA-2016-d717fdcf74 (Fedora 24):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-d717fdcf74

Apache Struts 1 End-Of-Life (EOL) Announcement:
https://struts.apache.org/struts1eol-announcement.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben