Maksim Kabakou - Fotolia

Apache Struts : une vulnérabilité présente depuis 2008

Découverte en juillet par un chercheur, elle permet de forcer l’exécution de code arbitraire à distance sur les serveurs affectés. La vulnérabilité apparaît activement exploitée. Un correctif est disponible.

Man Yue Mo, chercheur pour le projet open source LGTM.com porté par Semmle, a rendu publiques début septembre les détails d’une vulnérabilité affectant toutes les versions d’Apache Struts depuis 2008. Dans un billet de blog, Man Yue Mo explique que la vulnérabilité « est le résultat d’une désérialisation non sécurisée dans Java » et peut conduire à l’exécution de code arbitraire à distance.

La fondation Apache est quant à elle informée depuis la mi-juillet, et propose un correctif qu’il est d’autant urgent de déployer que la vulnérabilité en question apparaît aujourd’hui activement exploitée. Cisco vient d’indiquer se pencher sur quelques dizaines de ses produits utilisant Struts pour vérifier s’ils sont concernés ou non.

Dans son billet de blog, Man Yue Mo attire l’attention sur le fait que « de multiples vulnérabilités similaires sont apparues au cours des dernières années » et que cela concerne « de nombreuses applications Java ». Pour Boris Chen, vice-président de tCell en charge de l’ingénierie, « les exploits liés à sérialisation et résultant en une exécution de code arbitraire à distance constituent l’une des plus importantes menaces touchant les applications Web aujourd’hui. […] Pour Apache Struts, c’est la quatrième vulnérabilité présentant de ce type de conséquences cette année ». En mars, une autre vulnérabilité permettant l’exécution de code à distance a été corrigée alors qu’elle commençait à être activement exploitée.

Et justement, selon Baird, c’est par une vulnérabilité Apache Struts que de cyber-délinquants se sont invités chez Equifax, compromettant les données personnelles de plus de 140 millions d’américains. Fin juin, le chercheur David Hoyt dénonçait d’ailleurs le manque d’application du correctif relatif à la vulnérabilité CVE-2017-5638 du mois de mars, notamment au sein d’entreprises spécialisées dans l’évaluation de la solvabilité. 

Avec nos confrères de SearchSecurity.com

PRO+

Contenu premium

Accéder à plus de contenu PRO+ ainsi qu'à d'autres offres réservées aux membres.

Approfondir

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

En soumettant ces informations à LeMagIT.fr, vous acceptez de recevoir des emails de TechTarget et ses partenaires. Si vous résidez hors des Etats-Unis, vous consentez à ce que vos données personnelles soient transférées et traitées aux Etats-Unis. Politique de confidentialité

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close