S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 avril 2014
N° CERTFR-2014-ALE-004
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Apache Struts

Gestion du document

Référence CERTFR-2014-ALE-004
Titre Vulnérabilité dans Apache Struts
Date de la première version25 avril 2014
Date de la dernière version29 avril 2014
Source(s) Bulletin de sécurité Apache Struts du 24 avril 2014
Bulletin de sécurité S2-021 Apache Struts du 24 avril 2014
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Apache Struts versions 2.3.16.1 et antérieures

Résumé

Une vulnérabilité a été corrigée dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Description

Cette vulnérabilité est issue d'une méthode de contournement de la solution proposée par Apache Struts afin de remédier à la vulnérabilité CVE-2014-0094 décrite dans l'annonce de sécurité S2-020 du 07 mars 2014 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 avril 2014
    version initiale ;
    le 29 avril 2014
    fermeture de l'alerte, suite à la diffusion du correctif par l'éditeur.