Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache Software Foundation Struts >= 2.5
Apache Software Foundation Struts <= 2.5.5 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten URL über eine Anwendung, die URLs in Formularfeldern als Benutzereingaben akzeptiert und diese vom URLValidator prüfen lässt, einen Denial-of-Service-Angriff auf den Server durchführen. Der Hersteller informiert darüber, dass Apache Struts in den Versionen 2.5 - 2.5.5 von der Schwachstelle betroffen ist und stellt die Programmversion 2.5.8 als Sicherheitsupdate bereit. Workaround: Als Workaround gibt der Hersteller an, dass an den URLValidator übergebene Werte vor Zuweisung zu einem Feld verkürzt werden sollten, bis das Sicherheitsupdate eingespielt werden kann. Dafür steht die Funktion 'trim' zur Verfügung. Patch: Apache Struts Security Bulletin S2-044 https://struts.apache.org/docs/s2-044.html

CVE-2016-8738: Schwachstelle in Apache Struts ermöglicht
Denial-of-Service-Angriff

Bei Verarbeitung von URLs im URLValidator von Apache Struts kann es zu einem
erhöhten Ressourcenbedarf kommen, der in einen Denial-of-Service
(DoS)-Zustand mündet.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2096/

Apache Struts Security Bulletin S2-044:
https://struts.apache.org/docs/s2-044.html

Schwachstelle CVE-2016-8738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8738

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.