ADVISORY: Apache Struts2 S2-045: Remote Code Execution Vulnerability (CVE-2017-5638)

Que s’est-il passé ?

Une vulnérabilité critique a été découverte dans Apache Struts 2, affectant les versions d’Apache Struts 2.3.5–2.3.31 et 2.5–2.5.10. La vulnérabilité (CVE-2017–5638), a été découverte par le chercheur en sécurité Nike Zheng, et permet l’exécution à distance de codes via le parseur du framework Jakarta Multipart d’Apache Struts.

Détails de la vulnérabilité

Source : https://cwiki.apache.org/confluence/display/WW/S2-045

Avec cette vulnérabilité, il est possible d’exécuter à distance des codes avec du contenu malveillant. Si le contenu malveillant n’est pas valide, il déclenche une exception qui est ensuite utilisée pour afficher un message d’erreur à l’utilisateur. Les exploits sont déjà publics et les payloads sont nombreux (IRC bouncer, DOS bot, et autres botnets).

Produits concernés et recommandations

Les produits DenyAll ne sont pas impactés par cette vulnérabilité puisque nous n’utilisons pas Apache Struts 2 au sein de ces derniers.

DenyAll WAF et i-Suite :

  • Notre politique ICX par défaut bloque la majorité des payloads qui utilisent le Content-Type header (comme un Buffer Overflow). Vous pouvez également renforcer cette politique de sécurité en incluant un pattern d’injection de commandes sur les headers, et particulièrement sur les headers Content-Type.
  • La politique de sécurité et le workflow approprié sont disponibles sur la plateforme client MyDenyAll.

DenyAll rWeb :

  • Par défaut, si toujours activé, le payload sera bloqué par le vérificateur de la taille du header, mais nous recommendons d’activer la Scoring List sur les headers (Option ‘Use current Scoringlist to protect the request headers’) qui permettra de bloquer les attaques même si la taille du payload varie.
  • Pour assurer une sécurité plus efficace, vous pouvez aussi activer le moteur de sécurité avancé « Scripting language injection protection code » avec l’option « Protect request headers ».

DenyAll vous recommende de mettre à jour votre Apache Struts 2 dès que possible. La vulnérabilité a été fixée dans Apache Struts 2.3.32 et 2.5.10.1

A propos du DARC

Le centre de recherche DenyAll (DenyAll Research Center, DARC) est une division interne de DenyAll, qui se focalise sur l’analyse des vulnérabilités et des menaces, et sur les moyens de réponse. Sur les 15 dernières années, le département de recherche a contribué à l’élaboration de solutions de sécurité à l’état de l’art.

Xavier Quoniam, Marketing Manager on Linkedin
Xavier Quoniam, Marketing Manager
Xavier est notre Marketing Manager. Il est passionné par les nouvelles technologies qui transforment la façon dont les entreprises communiquent. Il nous apporte sa passion, sa curiosité et ses idées innovantes pour promouvoir au mieux DenyAll et Cloud Protector.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close