Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Apache Struts versions 2.3.x antérieures à 2.3.32
- Apache Struts versions 2.5.x antérieures à 2.5.10.1
Résumé
Une vulnérabilité a été découverte dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Description
Une vulnérabilité dans Struts permet une exécution de code arbitraire à
distance.
Le 06 mars 2017, Apache a publié le bulletin de sécurité S2-045 (cf.
section Documentation) afin de fournir un correctif de sécurité.
Depuis, cette vulnérabilité est activement exploitée.
Au vu de l'impact et du faible niveau de technicité nécessaire à
l'exploitation de cette vulnérabilité, le CERT-FR recommande donc le
déploiement du correctif dans les plus brefs délais.
Si les applications vulnérables contiennent des données sensibles, il
est également fortement conseillé de les désactiver tant que la mise à
jour n'a pas été appliquée.
Le 20 mars 2017, le CERT-FR a publié un article concernant cette
vulnérabilité dans son bulletin d'actualité hebdomadaire (cf. section
Documentation).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache S2-045 du 10 mars 2017 https://cwiki.apache.org/confluence/display/WW/S2-045
- Avis CERT-FR CERTFR-2017-AVI-071 http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-071/index.html
- Billet Trend Micro http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-5638-apache-struts-vulnerability-remote-code-execution/
- Bulletin d'actualité CERT-FR CERTFR-2017-ACT-012 http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-012/index.html
- Référence CVE CVE-2017-5638 https://www.cve.org/CVERecord?id=CVE-2017-5638
