DFN-CERT-2013-1744 Apache Struts: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Linux][RedHat][Unix]

DFN-CERT-2013-1744 Apache Struts: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Linux][RedHat][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts <= 2.3.15.1 Red Hat Linux Betroffene Plattformen: Linux RedHat UNIX In Apache Struts waren bisher sicherheitskritische Methoden standardmäßig aktiviert, durch die Angriffe erleichtert wurden. Des weiteren ermöglichte eine Sicherheitslücke einem entfernten Angreifer, Sicherheitsbeschränkungen zu umgehen. Patch: 20130921 [ANN] Struts 2.3.15.2 GA release available - security fix http://archives.neohapsis.com/archives/bugtraq/2013-09/0107.html

CVE-2013-4316: Schwachstelle in Apache Struts

In Apache Struts sind dynamische Methodenaufrufe (Dynamic Method Invocation)
bisher standardmäßig aktiviert gewesen. Die dynamischen Methodenaufrufe sind
bekannt dafür, die Gefahr von Sicherheitslücken zu erhöhen, und sind deshalb
nunmehr nicht mehr aktiviert.

CVE-2013-4310: Schwachstelle in Apache Struts

Eine Schwachstelle in Apache Struts verarbeitet den Prefix: ‘action’ nicht
korrekt. Ein entfernter Angreifer kann durch einen präparierten Prefix
Sicherheitsbeschränkungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1744/

Schwachstelle CVE-2013-4316 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4316

Schwachstelle CVE-2013-4310 (Red Hat):
https://access.redhat.com/security/cve/CVE-2013-4310

Schwachstelle CVE-2013-4310 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4310

http://struts.apache.org/release/2.3.x/docs/s2-018.html:
http://struts.apache.org/release/2.3.x/docs/s2-018.html

Schwachstelle CVE-2013-4316 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4316

http://struts.apache.org/release/2.3.x/docs/s2-019.html:
http://struts.apache.org/release/2.3.x/docs/s2-019.html

20130921 [ANN] Struts 2.3.15.2 GA release available – security fix:
http://archives.neohapsis.com/archives/bugtraq/2013-09/0107.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben