forum.opennet.ru

Составление сообщения

Исходное сообщение

"Волна взломов сайтов через неисправленную уязвимость в Apach..."
Отправлено opennews, 09-Мрт-17 11:47

Опубликовано (http://struts.apache.org/announce.html#a20170307) экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (https://cwiki.apache.org/confluence/display/WW/S2-045) (CVE-2017-5638 (https://security-tracker.debian.org/tracker/CVE-2017-5638)),  которая уже несколько дней используется (http://blog.talosintelligence.com/2017/03/apache-0-day-explo...) злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts.

Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с  2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение  для отображения сообщения об ошибке, которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову обработчика Multipart parser и выполнению произвольного кода.

Так как в открытом доступе опубликован готовый эксплоит (https://github.com/rapid7/metasploit-framework/issues/8064) и в сети уже зафиксирована автоматизированная вредоносная активность, эксплуатирующая данную уязвимость, всем пользователям  Apache Struts рекомендуется в экстренном порядке выполнить обновление или блокировать работу компонента Jakarta Multipart parser. Обновления пакетов с libstruts уже выпущено для Debian (https://security-tracker.debian.org/tracker/CVE-2017-5638). В Ubuntu проблема остаётся неисправленной. В штатных репозиториях RHEL/Cent OS пакет Apache Struts не поставляется.
В случае если web-приложение выполняется в контейнере Apache Tomcat, выполняемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе. Например, фиксируемые в логах попытки атак выполняют отключение пакетного фильтра и устанавливают бэкдор для удалённого управления системой или типовое вредоносное ПО:
URL: http://blog.talosintelligence.com/2017/03/apache-0-day-explo...
Новость: http://www.opennet.ru/opennews/art.shtml?num=46167

Исходное сообщение
"Волна взломов сайтов через неисправленную уязвимость в Apach..." Отправлено opennews, 09-Мрт-17 11:47
Опубликовано (http://struts.apache.org/announce.html#a20170307) экстренное обновление web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена критическая 0-day уязвимость (https://cwiki.apache.org/confluence/display/WW/S2-045) (CVE-2017-5638 (https://security-tracker.debian.org/tracker/CVE-2017-5638)), которая уже несколько дней используется (http://blog.talosintelligence.com/2017/03/apache-0-day-explo...) злоумышленниками для получения контроля за сайтами, работающими под управлением Apache Struts. Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках Struts с 2.3.5 по 2.3.31 и с 2.5.0 по 2.5.10, и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type содержит некорректное значение, срабатывает исключение для отображения сообщения об ошибке, которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову обработчика Multipart parser и выполнению произвольного кода. Так как в открытом доступе опубликован готовый эксплоит (https://github.com/rapid7/metasploit-framework/issues/8064) и в сети уже зафиксирована автоматизированная вредоносная активность, эксплуатирующая данную уязвимость, всем пользователям Apache Struts рекомендуется в экстренном порядке выполнить обновление или блокировать работу компонента Jakarta Multipart parser. Обновления пакетов с libstruts уже выпущено для Debian (https://security-tracker.debian.org/tracker/CVE-2017-5638). В Ubuntu проблема остаётся неисправленной. В штатных репозиториях RHEL/Cent OS пакет Apache Struts не поставляется. В случае если web-приложение выполняется в контейнере Apache Tomcat, выполняемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_witho...) с правами root, в результате атаки сразу может быть получен root-доступ к системе. Например, фиксируемые в логах попытки атак выполняют отключение пакетного фильтра и устанавливают бэкдор для удалённого управления системой или типовое вредоносное ПО: URL: http://blog.talosintelligence.com/2017/03/apache-0-day-explo... Новость: http://www.opennet.ru/opennews/art.shtml?num=46167

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Опубликовано (http://struts.apache.org/announce.html#a20170307) экстренное обновление 
> web-фреймворка Apache Struts (2.3.32 и 2.5.10.1), применяемого для создания web-приложений 
> на языке Java с использованием парадигмы Model-View-Controller. В новых выпусках устранена 
> критическая 0-day уязвимость (https://cwiki.apache.org/confluence/display/WW/S2-045) 
> (CVE-2017-5638 (https://security-tracker.debian.org/tracker/CVE-2017-5638)),  которая 
> уже несколько дней используется (http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html) 
> злоумышленниками для получения контроля за сайтами, работающими под управлением Apache 
> Struts.

> Уязвимость позволяет выполнить произвольный код на сервере, отправив запрос со специально 
> оформленным содержимым HTTP-заголовка "Content-Type". Проблема проявляется в выпусках 
> Struts с 2.3.5 по 2.3.31 и с  2.5.0 по 2.5.10, 
> и вызвана ошибкой в коде Multipart parser, применяемом для разбора запросов, 
> состоящих из нескольких частей (multipart/form-data). В случае, если заголовок Content-Type 
> содержит некорректное значение, срабатывает исключение  для отображения сообщения об ошибке, 
> которое, если в тексте присутствует маска "multipart/form-data", также приводит к вызову 
> обработчика Multipart parser и выполнению произвольного кода.

> Так как в открытом доступе опубликован готовый эксплоит (https://github.com/rapid7/metasploit-framework/issues/8064) 
> и в сети уже зафиксирована автоматизированная вредоносная активность, эксплуатирующая 
> данную уязвимость, всем пользователям  Apache Struts рекомендуется в экстренном порядке 
> выполнить обновление или блокировать работу компонента Jakarta Multipart parser. Обновления 
> пакетов с libstruts уже выпущено для Debian (https://security-tracker.debian.org/tracker/CVE-2017-5638). 
> В Ubuntu проблема остаётся неисправленной. В штатных репозиториях RHEL/Cent OS пакет 
> Apache Struts не поставляется.

> В случае если web-приложение выполняется в контейнере Apache Tomcat, выполняемом (https://wiki.apache.org/tomcat/HowTo#How_to_run_Tomcat_without_root_privileges.3F) 
> с правами root, в результате атаки сразу может быть получен root-доступ 
> к системе. Например, фиксируемые в логах попытки атак выполняют отключение пакетного 
> фильтра и устанавливают бэкдор для удалённого управления системой или типовое вредоносное 
> ПО:

> URL: http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46167

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру