Avisos 24 de January, 2012

Actualització Apache Struts

La fundació Apache ha publicat una actualització associada al seu Framework de desenvolupament web Struts. La nova versió soluciona 4 vulnerabilitats que permetrien a un atacant remot, no autenticat, executar codi Java i sobreescriure arxius.
 

Recursos afectats: Actualització: Programari web desenvolupat amb Framework Struts versió 2.1.0 fins a 2.3.1.1

Impacte: Execució de codi, sobreescriptura de fitxers ubicats a servidor web.

Solució: Actualitzar les aplicacions web desenvolupades amb versions antigues del Framework afectat, amb la nova versió del Framework versió 2.3.1.1 de Struts.

Actualització: una nova versió (2.3.1.2) soluciona un nou vector d'atac publicat per a una de les vulnerabilitats.

Si l'aplicació ja està actualitzada a la versió 2.3.1 de Struts, és possible mitigar l'explotació aplicant un filtre acceptedParamNames, més restrictiu si apliquem a ParameterInterceptor i CookieInterceptor:
acceptedParamNames = "[a-zA-Z0-9 \\ .][()_']+"
També és possible des habilitar la invocació dinàmica de mètodes (DMI o Dynamic Method Invocation), a través de la qual es podrien explotar les vulnerabilitats, mitjançant una de les següents opcions:
•    Al fitxer struts.xml, incloure:

•    Al fitxer struts.properties:
struts.enable.DynamicMethodInvocation = false
•    Al fitxer web.xml incloure aquest node en el filtre Struts 2:

 struts.enable.DynamicMethodInvocation
 false

Encara que s'utilitzi una versió actualitzada, és convenient deshabilitar la invocació dinàmica de mètodes si no és necessària per al funcionament normal de l'aplicació, aquesta permet que tots els mètodes públics de les classes puguin ser invocats des de peticions externes.


Detall:


Refs:

Actualització: Nou vector d'atac per a la vulnerabilitat en ParameterInterceptor http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html

• Actualització: Nou Avís de seguretat de la Fundació Apache https://cwiki.apache.org/confluence/display/WW/S2-009

• Article original de l'investigador de seguretat http://www.brucephillips.name/blog/index.cfm/2011/2/19/Struts-2-Security-Vulnerability--Dynamic-Method-Invocation

• Avís de seguretat de la Fundació Apache http://struts.apache.org/2.x/docs/s2-008.html
 

Publicat a: Avisos