{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Apache Struts versions 2.5.x ant\u00e9rieures \u00e0 2.5.10.1","product":{"name":"Struts","vendor":{"name":"Apache","scada":false}}},{"description":"Apache Struts versions 2.3.x ant\u00e9rieures \u00e0 2.3.32","product":{"name":"Struts","vendor":{"name":"Apache","scada":false}}}],"affected_systems_content":null,"closed_at":"2017-05-10","content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 dans Struts permet une ex\u00e9cution de code arbitraire \u00e0\ndistance.  \nLe 06 mars 2017, Apache a publi\u00e9 le bulletin de s\u00e9curit\u00e9 S2-045 (cf.\nsection Documentation) afin de fournir un correctif de s\u00e9curit\u00e9.  \nDepuis, cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e.  \nAu vu de l'impact et du faible niveau de technicit\u00e9 n\u00e9cessaire \u00e0\nl'exploitation de cette vuln\u00e9rabilit\u00e9, le CERT-FR recommande donc le\nd\u00e9ploiement du correctif dans les plus brefs d\u00e9lais.  \nSi les applications vuln\u00e9rables contiennent des donn\u00e9es sensibles, il\nest \u00e9galement fortement conseill\u00e9 de les d\u00e9sactiver tant que la mise \u00e0\njour n'a pas \u00e9t\u00e9 appliqu\u00e9e.  \nLe 20 mars 2017, le CERT-FR a publi\u00e9 un article concernant cette\nvuln\u00e9rabilit\u00e9 dans son bulletin d'actualit\u00e9 hebdomadaire (cf. section\nDocumentation).\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2017-5638","url":"https://www.cve.org/CVERecord?id=CVE-2017-5638"}],"links":[{"title":"Bulletin d'actualit\u00e9 CERT-FR CERTFR-2017-ACT-012","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-012/index.html"},{"title":"Billet Trend Micro","url":"http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-5638-apache-struts-vulnerability-remote-code-execution/"},{"title":"Avis CERT-FR CERTFR-2017-AVI-071","url":"http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-071/index.html"}],"reference":"CERTFR-2017-ALE-004","revisions":[{"description":"version initiale.","revision_date":"2017-03-10T00:00:00.000000"},{"description":"passage du titre au singulier.","revision_date":"2017-03-13T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin d'actualit\u00e9 CERT-FR CERTFR-2017-ACT-012.","revision_date":"2017-03-22T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-05-10T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans <span class=\"textit\">Apache\nStruts</span>. Elle permet \u00e0 un attaquant de provoquer une ex\u00e9cution de\ncode arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9 dans Apache Struts","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Apache S2-045 du 10 mars 2017","url":"https://cwiki.apache.org/confluence/display/WW/S2-045"}]}