Vulnérabilité critique au sein d'Apache Struts

Technologies de Sécurité
Vulnérabilité critique au sein d'Apache Struts

Une vulnérabilité importante a été publiée la semaine dernière. Celle-ci touche le composant Apache Struts. Les versions concernées sont les branches 2.3.x jusqu'à la 2.3.32 et 2.5.x jusqu'à la 2.5.10.1.  Ces deux versions ont été publiées le 7 mars dernier.

 

La vulnérabilité permet de mener des attaques de type RCE et ne nécessite aucune authentification sur l'application. Ainsi, simplement en envoyant une requête HTTP spécialement formatée, il est possible d'exécuter des commandes directement sur le serveur, avec les droits de l'utilisateur web. Cette vulnérabilité est actuellement très activement exploitée et des cas d'attaques concrets ont d'ores et déjà été rencontrés. Des exploits publics sont par ailleurs disponibles librement sur Internet.

 

Vous trouverez plus d'informations sur les liens suivants :

 

Afin de vous prémunir contre cette vulnérabilité, deux solutions s'offrent à vous :

 

Benjamin Leroux, Innovation & Marketing, Advens