ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 09 03 2017

Vulnérabilité dans Apache Struts (corrigée le 09 mars 2017)

Version initiale de l'avis
09 mars 2017

Révision
13 mars 2017 - passe en alerte

Source
Bulletin de sécurité Apache S2-045 du 06 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Apache Struts versions 2.3.x antérieures à 2.3.32
Apache Struts versions 2.5.x antérieures à 2.5.10.1

3 - Résumé
Une vulnérabilité a été corrigée dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Apache S2-045 du 06 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

Référence CVE CVE-2017-5638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-5638
Avatar de l’utilisateur
pierre
 
Messages: 22387
Inscription: 20 05 2002
Localisation: Ici et maintenant

ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 13 03 2017

Cet avis du 09.03.2017 passe en alerte le 13.03.2017

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Apache Struts versions 2.3.x antérieures à 2.3.32
Apache Struts versions 2.5.x antérieures à 2.5.10.1

3 - Résumé
Une vulnérabilité a été découverte dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Contournement provisoire
Une vulnérabilité dans Struts permet une exécution de code arbitraire à distance.
Le 06 mars 2016, Apache a publié le bulletin de sécurité S2-045 (cf. section Documentation) afin de fournir un correctif de sécurité.

Depuis, cette vulnérabilité est activement exploitée.

Au vu de l'impact et du faible niveau de technicité nécessaire à l'exploitation de cette vulnérabilité, appliquez le correctif dans les plus brefs délais.

Si les applications vulnérables contiennent des données sensibles, il est également fortement conseillé de les désactiver tant que la mise à jour n'a pas été appliquée.

5 - Documentation
Bulletin de sécurité Apache S2-045 du 10 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

Avis CERT-FR CERTFR-22017-AVI-071
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html

Billet Trend Micro
http://blog.trendmicro.com/trendlabs-se ... execution/

Référence CVE CVE-2017-5638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-5638
Avatar de l’utilisateur
pierre
 
Messages: 22387
Inscription: 20 05 2002
Localisation: Ici et maintenant




Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités