关键Apache Struts Flaw打开企业妥协,尽快解决!

Apache Struts.中的一个关键远程远程执行漏洞(CVE-2018-11776)是开发基于Java的Web应用程序的流行开源框架,可以允许远程攻击者在受影响的服务器上运行恶意代码。

CVE-2018-11776

Semmle Security Support Man Me Yue Mo发现和报告了该漏洞,并敦促使用Struts立即升级他们的Struts组件的组织和开发人员。

“以前披露类似的关键漏洞导致漏洞发布在一天内发布,将关键的基础设施和客户数据造成风险,” they 著名的。 (发生了臭名昭着的Equifax违规行为 由于类似的缺陷和宽松的修补。)

关于CVE-2018-11776

Apache软件基础 该Struts版本2.3至2.3.34和2.5至2.5.16受到影响,并且不支持的框架版本也可能受到影响。

作为 著名的 由工人的研究人员,漏洞只能利用 始终选择quallnamespace. flag is set to true in the Struts configuration and if the application’s Struts configuration file contains an <action ...> tag that does not specify the optional namespace attribute or specifies a wildcard namespace (e.g., “/*”).

该基础建议用户尽快升级到(固定的)Apache Struts版本2.3.35或2.5.17,但它确实为那些可以提供一些临时缓解建议’t快速修补:“验证您是否已设置(并且始终不忘记设置) 命名空间 (如果适用)为您的底层配置中的所有定义结果。还验证您是否已设置(并且始终不忘记设置) 价值 或者 行动 对所有人 URL. 在您的JSP中的标签。只有在其上行配置没有或通配符时才需要两者 命名空间.”

升级是首选操作,否则即使应用程序目前不易变,对Struts配置文件的无意中更改可能会使将来易受攻击的应用程序。

风险很高

Apache Struts.是全球企业广泛应用的。

“Struts应用程序通常面临公共互联网,在大多数情况下,攻击者不需要任何现有权限到易受攻击的Struts应用程序,以便对其进行攻击。要使事务更糟糕,攻击者非常容易评估应用程序是否易受攻击,很可能很快就会提供专用扫描工具。此类工具将使恶意演员能够快速并自动识别易受攻击的应用程序,”Semmle研究人员解释了风险。“黑客可以在几分钟内找到他们的方式,并从受损系统中进一步攻击数据或舞台。”

Tim Mackey,Technical Everkist在Synopsys,指出,在识别CVE-2018-11776时,研究人员在Struts中查找了先前的远程远程执行漏洞,以确定是否存在导致它们的编码模式。

“在CVE-2018-11776的情况下,根本原因是对转移到Struts框架的URL缺乏输入验证。与CVE-2018-11776不同,先前的漏洞全部在Struts代码的单个功能区域内代码。这意味着熟悉该功能区域的开发人员可以在不引入新功能行为的情况下快速识别和解决问题。 CVE-2018-11776在代码中的一个更深层次的级别运行,这反过来又需要更深入地了解Struts代码本身,而是Struts使用的各种库。这是一个最重要的理解水平 - 这涉及任何图书馆框架,” he explained.

“将输入验证到函数需要清晰的定义是可接受的。它同样要求提供公共使用的任何功能文件如何使用传递给它们的数据。缺少合同此类定义和文档表单,很难确定代码是否正确运行。当对图书馆的修补程序作为不现实时,本合同变得至关重要,以假设所有补丁都没有行为变化。现代软件越来越复杂,并识别数据如何通过它应该是所有软件开发团队的优先事项。”

分享这个