UPDATE: DFN-CERT-2015-0717 Struts: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-0717 Struts: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (15.05.2017):
Für Fedora EPEL 7 steht ein Sicherheitsupdate im Status ‘testing’ bereit.
Version 3 (01.04.2016):
Debian stellt für die alte stabile Distribution Wheezy ein
Sicherheitsupdate für das Java Framework libstruts1.2-java bereit.
Version 2 (27.08.2015):
Für Fedora 22 steht ein Sicherheitsupdate in Form des Paketes
‘struts-1.3.10-14.fc22’ im Status ‘testing’ bereit.
Version 1 (18.05.2015):
Neues Advisory

Betroffene Software:

Apache Software Foundation Struts >= 1.1

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Manager Server
SUSE Manager 1.7 for SLE 11 SP2
Debian Linux 7.9 Wheezy
Red Hat Fedora 22
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in Struts ermöglicht es einem entfernten, nicht
authentifizierten Angreifer Sicherheitsmaßnahmen zu umgehen.
Für SUSE Manager Server, SUSE Manager 1.7 für SLE 11 SP2 und SUSE Linux
Enterprise Software Development Kit 11 SP3 stehen Sicherheitsupdates zur
Verfügung.

Patch:

SUSE Security Update SUSE-SU-2015:0886-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150886-1.html

Patch:

Fedora Security Update FEDORA-2015-14237

https://bodhi.fedoraproject.org/updates/struts-1.3.10-14.fc22

Patch:

Debian Security Advisory DSA-3536-1

https://www.debian.org/security/2016/dsa-3536

Patch:

Fedora Security Update FEDORA-EPEL-2017-2acdfa3ad8 (struts-1.3.10-14.1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-2acdfa3ad8

CVE-2015-0899: Schwachstelle in Struts ermöglicht Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in Struts 1.1 und höher ermöglicht es, die vorgesehene
Überprüfung von Benutzereingaben zu umgehen. Die Überprüfungsfunktion
(Validator) in Struts enthält eine effiziente Methode Überprüfungsregeln,
die über mehrere Seiten gelten, zu definieren (MultiPageValidator). Durch
das Ausnutzen der Schwachstelle können diese Regeln beim Übergang der
Anzeige der Seiten umgangen werden. Die Schwachstelle ist auch dann
ausnutzbar, wenn die betroffene Methode (Validator) nicht explizit
aufgerufen wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0717/

Schwachstelle CVE-2015-0899 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0899

SUSE Security Update SUSE-SU-2015:0886-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150886-1.html

Fedora Security Update FEDORA-2015-14237 :
https://bodhi.fedoraproject.org/updates/struts-1.3.10-14.fc22

Debian Security Advisory DSA-3536-1:
https://www.debian.org/security/2016/dsa-3536

Fedora Security Update FEDORA-EPEL-2017-2acdfa3ad8 (struts-1.3.10-14.1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-2acdfa3ad8

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben