ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 09 Mar 2017, 22:17

Vulnérabilité dans Apache Struts (corrigée le 09 mars 2017)

Version initiale de l'avis
09 mars 2017

Révision
13 mars 2017 - passe en alerte

Source
Bulletin de sécurité Apache S2-045 du 06 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Apache Struts versions 2.3.x antérieures à 2.3.32
Apache Struts versions 2.5.x antérieures à 2.5.10.1

3 - Résumé
Une vulnérabilité a été corrigée dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 - Documentation
Bulletin de sécurité Apache S2-045 du 06 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

Référence CVE CVE-2017-5638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-5638


Historique des alertes et avis sur le produit Apache Struts
Historique des alertes et avis sur le produit Apache Struts
Historique des alertes et avis sur les produits Apache
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26887
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 13 Mar 2017, 10:42

Cet avis du 09.03.2017 passe en alerte le 13.03.2017

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
Apache Struts versions 2.3.x antérieures à 2.3.32
Apache Struts versions 2.5.x antérieures à 2.5.10.1

3 - Résumé
Une vulnérabilité a été découverte dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

4 - Contournement provisoire
Une vulnérabilité dans Struts permet une exécution de code arbitraire à distance.
Le 06 mars 2016, Apache a publié le bulletin de sécurité S2-045 (cf. section Documentation) afin de fournir un correctif de sécurité.

Depuis, cette vulnérabilité est activement exploitée.

Au vu de l'impact et du faible niveau de technicité nécessaire à l'exploitation de cette vulnérabilité, appliquez le correctif dans les plus brefs délais.

Si les applications vulnérables contiennent des données sensibles, il est également fortement conseillé de les désactiver tant que la mise à jour n'a pas été appliquée.

5 - Documentation
Bulletin de sécurité Apache S2-045 du 10 mars 2017
https://cwiki.apache.org/confluence/display/WW/S2-045

Avis CERT-FR CERTFR-22017-AVI-071
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html

Billet Trend Micro
http://blog.trendmicro.com/trendlabs-se ... execution/

Référence CVE CVE-2017-5638
http://cve.mitre.org/cgi-bin/cvename.cg ... -2017-5638
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26887
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 31 Mar 2017, 16:17

Cette alerte sécurité n'a toujours pas de contournement ni de correctif et est toujours active.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26887
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité dans Apache Struts (09.03.17)

Messagede pierre » 11 Mai 2017, 19:42

Corrigé le 10 mai 2017.
Cloture de l'alerte
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26887
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités