STARFACE: Security-Release Version 6.4.1.12

Beitragsbild Starface 75x30

5. April 2017 | Security-Release: Enthält die Schließung einer kritischen Sicherheitslücke in Apache Struts

STARFACE Version 6.4.1.12

Features:

  • Security-Release: Enthält die Schließung einer kritischen Sicherheitslücke in Apache Struts (CVE-2017-5638)
  • Systeme auf den Versionen 6.0 bis 6.3 sind nicht von der Sicherheitslücke betroffen
  • Systeme auf den Versionen 6.4.0 und 6.4.1 sollten auf dieses Security Release aktualisieren
  • von 6.4.0 und 6.4.1 ist das Update ohne Updatevertrag möglich

Bugfixes:

  • Security-Release: Enthält die Schließung einer kritischen Sicherheitslücke in Apache Struts (CVE-2017-5638)

Apache Struts ist quelloffenes Framework für die Erstellung von Java Webapplikationen. Bei der Analyse vergangener Remote Code Execution (RCE)-Lücken in Apache Struts stellte sich heraus, dass die meisten Angreifer Object Graph Navigation Language (OGNL) Expressions verwendet hatten. Mit OGNL ist es einfach, aus der Ferne beliebigen Code auszuführen, weil das Framework die Sprache in den meisten Prozessen verwendet. 

Angriffsszenario

Die Lücke kann ausgenutzt werden, wenn der Angreifer eine speziell aufgesetzte Anfrage zum Hochladen einer Datei auf einen angreifbaren Server absetzt, der ein Jakarta-basiertes Plugin für die Verarbeitung der Anfrage nutzt. Der Angreifer kann dann bösartigen Code in den Content-Type Header senden, um den Befehl auf dem verwundbaren Server auszuführen. .

Wir empfehlen das Update auf die aktuellen Software-Releases! Kein Update Vertrag? Sprechen  Sie uns an.


Mehr über STARFACE auf auf der PHONiUM Homepage

Haben Sie Fragen? Bitte sprechen Sie uns an! PHONiUM-Kontakt