Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts <= 2.3.16.1 Betroffene Plattformen: Apache Software Foundation Struts Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um Befehle einzuschleusen und auszuführen. Diese Schwachstelle wird bereits aktiv ausgenutzt. Workaround: Da noch kein Fix für diese Schwachstelle existiert, wird dringend empfohlen den Workaround von Apache Struts umzusetzen. Dieser sieht Anpassungen in der Datei 'struts.xml' und 'struts-default.xml' vor. Eine ausführliche Beschreibung der Anpassungen finden Sie auf der unten referenzierten Webseite. Apache-Struts-2.3.16.1: Apache Struts 2: Schwachstelle ermöglicht Einschleusen von Befehlen Aufgrund der fehlerhaften Beseitigung der Schwachstelle CVE-2014-0094 in Apache Struts 2 ist es in Apache Struts der Version 2.3.16.1 weiterhin möglich den ClassLoader zu manipulieren. Dies hat den Grund, dass der Fix der Schwachstelle auf einem nicht ausreichend strengen regulären Ausdrucks basiert, welcher durch die Variation der Groß- und Kleinschreibung sowie durch die Verwendung der Notation von eckige Klammern umgangen werden kann. Dies ermöglicht einem entfernten, nicht authentifizierten Angreifer weiterhin Befehle einzuschleusen und zur Ausführung zu bringen. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2014-0502/

Beschreibung des Workarounds von Apache Struts:
http://struts.apache.org/announce.html#a20140424

Beschreibung der Zero-Day-Schwachstelle :
http://www.pwntester.com/blog/2014/04/24/struts2-0day-in-the-wild/

Heise Artikel zur Zero-Day-Schwachstelle:
http://www.heise.de/newsticker/meldung/Zero-Day-Luecke-in-Apache-Struts-2-2176605.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.