Haavoittuvuus Apache Strutsin tiedostonlatauskomponentissa

Apache Struts -sovelluskehyksen yleisesti käyttämässä commons-fileupload-tiedostonlatauskomponentissa on tunnettu haavoittuvuus, joka mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä. Samaa ohjelmakirjastoa käytetään myös monissa muissa järjestelmissä, joita sama haavoittuvuus koskee myös.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Apachen julkaisemassa tiedotteessa kehotetaan päivittämään Apache Struts versiossa 2.3.x käytettävä commons-fileupload-komponentti. Apache Struts 2.3.x käyttää oletusversiona vanhaa commons-fileupload-komponentin versiota 1.3.2, joka on haavoittuva hyökkäyksille.

Haavoittuvuus koskee Apache Strutsin versiota 2.3.x, jos verkkosivuilla käytetään siihen sisäänrakennettua tiedostonlähetysmekanismia. Versio 2.5.x ei ole enää haavoittuva. Uudempaan versioon sisäänrakennetussa tiedostonlähetysmekanismissa haavoittuvuus on korjattu.

Samaa haavoittuvaa commons-fileupload-ohjelmointikirjastoa käytetään muissakin palveluissa kuin Apache Strutsissa. Myös muissa samaa kirjastoa käyttävissä palveluissa saattaa olla tarjolla korjaavia tietoturvapäivityksiä.

Ratkaisu- ja rajoitusmahdollisuudet:

Kirjastokomponentti on päivitettävä versioon 1.3.3.

Apachen tiedotteen mukaan mikään yksittäinen Struts-version päivitys ei korjaa haavoittuvuutta, vaan commons-fileupload-kirjasto on korvattava uudella. Kirjastokomponentin korjattu versio 1.3.3 on erikseen kopioitava WEB-INF/lib-hakemistopolkuun, jossa se korvaa vanhan version. Maven-pohjaisissa projekteissa myös kirjastoriippuvuudet on päivitettävä ennen niiden käyttöönottoa.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248