Kritische Sicherheitslücke in Apache Struts 2 - Patches verfügbar

22. August 2018

Es wurde eine kritische Sicherheitslücke in Apache Struts 2 gefunden, die schwerwiegende Folgen für die Sicherheit von Webservern, die dieses Framework einsetzen, haben kann. CERT.at bittet daher um Beachtung der folgenden Hinweise.

Beschreibung

Apache Struts 2 ist ein Web Application Framework, um Java EE Applikationen zu entwickeln. Entsprechend wird dieses vor allem in komplexeren Umgebungen eingesetzt.

Auswirkungen

Ein Angreifer kann auf einem verwundbaren Webserver mittels entsprechend manipulierter Parameter beliebigen Code zur Ausführung bringen. Dadurch sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa in Datenbanken, durch Login, VPN etc.) Daten und weiteren Systeme gefährdet.

Betroffene Systeme

Webserver, die das Apache Struts 2 Framework in folgenden Versionen einsetzen:
  • Struts 2.3 - Struts 2.3.34
  • Struts 2.5 - Struts 2.5.16

Abhilfe

Die Apache Software Foundation stellt entsprechend fehlerbereinigte Versionen von Struts 2 zur Verfügung:
  • 2.3.35
  • 2.5.17

Workaround

Die Security-Warnung von Apache listet auch einen möglichen Workaround:
Verify that you have set (and always not forgot to set) namespace (if is applicable) for your all defined results in underlying xml configurations. Also verify that you have set (and always not forgot to set) value or action for all url tags in your JSPs. Both are needed only when their upper action(s) configurations have no or wildcard namespace.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Security Bulletin S2-057 des Apache Struts 2 Projekts (englisch)
https://cwiki.apache.org/confluence/display/WW/S2-057
Meldung des DFN-CERT
https://adv-archiv.dfn-cert.de/adv/2018-1700/