Vulnérabilité dans Struts

Gestion du document

Référence	CERTA-2011-AVI-011
Titre	Vulnérabilité dans Struts
Date de la première version	12 janvier 2011
Date de la dernière version	17 mars 2011
Source(s)	Article KB de VMware 1034175 du 16 mars 2011 Bulletin de sécurité Apache Struts S2-005 du 16 Août 2010

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Struts versions 2.0.0 à 2.1.8.1 ;
VMware vCenter Orchestrator 4.0 et 4.1.

Résumé

Une vulnérabilité dans Struts version 2 permet à un attaquant d'exécuter du code Java à distance.

Description

Une erreur dans l'évaluation des paramètres des requêtes au serveur par le module XWork, inclus dans Struts, permet à un attaquant d'exécuter du code arbitraire à distance. Cette vulnérabilité affecte également le logiciel VMware vCenter Orchestrator.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Apache Struts S2-005 du 16 Août 2010

http://struts.apache.org/2.2.1/docs/s2-005.html

Article KB de Vmware 1034175 du 16 mars 2011 :

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1034175

Référence CVE CVE-2010-1870

https://www.cve.org/CVERecord?id=CVE-2010-1870

Avis du CERT-FR

Objet: Vulnérabilité dans Struts