Language switcher

Sa oled siin

CERT-EE hoiatab: turvanõrkus Apache'i veebiraamistikus

Koodi kaugkäivitamist võimaldav turvanõrkus leiti Apache'i veebiraamistikust Struts 2, mis on populaarne Java rakendustes. CERT-EE andmetel on juba tehtud katseid turvanõrkust ära kasutada. Kui teie rakendus kasutab programmeerimiskeelt Java, soovitame tarkvara uuendada.

Turvanõrkus CVE-2018-11776 » mõjutab nii Apache Struts 2.3 – 2.3.34 kui 2.5 – 2.5.16 kasutajaid ja lubab potentsiaalsel ründajal kaugkäivitada koodi. Halvimal juhul võib kolmas osapool kogu süsteemi enda kontrolli alla võtta. Riski suurendab asjaolu, et Strutsi veebiraamistikku kasutavad väga paljud avalikud teenused.

Apache on paiganud turvanõrkuse alates versioonidest 2.3.35 ja 2.5.17.

Esimene avalik meetod (Proof of Concept) turvanõrkuse ärakasutamiseks on väljas ning CERT-EE on tuvastanud esimesi katseid seda kasutada.

Aastal 2017 leiti veebiraamistikust Struts sarnane turvanõrkus, mida kasutati ära juba paari päeva möödudes. USA krediidiinfo firma Equifax teatas toona, et neilt varastati 147 miljoni kliendi andmed. Kahju suuruseks hindas ettevõte kuni 600 miljonit dollarit.

Kas see turvanõrkus mõjutab mind?

Apache'i Struts on populaarne veebiraamistik Javale. Kui teie rakendus on kirjutatud selles programmeerimiskeeles, soovitame kindlasti tarkvara uuendada.

Mis on haavatavad?

Haavatavad on kõik rakendused, mis kasutavad veebiraamistikku Struts.

Praegu on teada, et turvanõrkust saab ära kasutada siis, kui Strutsi rakenduste seadistus on järgnev:

The alwaysSelectFullNamespace flag is set to true in the Struts configuration – paljude seadistuste puhul lubatakse see vaikimisi.

Your application’s Struts configuration file contains an <action ...> tag that does not specify the optional namespace attribute, or specifies a wildcard namespace (e.g. '/*')

Veel uudiseid samal teemal

21.02.2019

Mida teha, kui viirusetõrjetarkvara ei lase valijarakendust käivitada?

Kuigi Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond (CERT-EE) on eelnevalt teavitanud viirustõrjeprogrammide tootjaid ning palunud valijarakendus n-ö whitelist’i panna, on tänase jooksul mõned viirusetõrjeprogrammid takistanud e-valijarakenduse avamist arvutites.

13.02.2019

RIA kontrollib infoturbemeetmete rakendamist kohalikes omavalitsustes

13.2.2019 – Riigi Infosüsteemi Amet (RIA) on alustanud järelevalvemenetlust kohalikes omavalitsustes, selgitamaks välja, kuidas järgitakse infosüsteemidele kehtestatud infoturbenõudeid. Lisaks selgub küberturvalisuse teenistuse jaanuarikuu ülevaatest, et aasta alguses on küberintsidentide hulk hakanud veidi suurenema.