Apache Struts : le framework victime de failles rendant vulnérables les applications serveurs créées
Apache Struts : le framework victime de failles rendant vulnérables les applications serveurs créées
qui deviennent des cibles pour les hackers chinois
Alors que suite à une faille critique l'Apache Software Foundation a publié un correctif pour les versions vulnérables d'Apache Struts, le framework de développement d'applications web Java pour l'édition entreprise, le constat c'est que cette mise à jour n'est pas très répandue.
Noriaki Hayashi, chercheur en sécurité pour la firme Trend Micro, reporte que des hackers chinois se servent d'un outil spécialisé pour compromettre des applications développées avec les versions vulnérables du framework.
L'outil commercialisé sur le marché noir, permet à ces deniers d'exploiter les vulnérabilités CVE-2013-2251, CVE-2013-1966, CVE-2011-3923, et CVE-2010-1870 qui donnent toutes la possibilité au hacker d'exécuter du code arbitraire dans l'application distante grâce à un webshell.
Le chercheur confirme entre autre que de nombreux sites asiatiques sont victimes des attaques générées par cet outil, traduisant ainsi la forte présence sur la toile d'applications développées avec les versions vulnérables du Framework.
Par ailleurs il recommande vivement aux développeurs d'installer la mise à jour sécurisée du Framework.
Télécharger Apache Struts 2.3.15.1
Source : blog Trend Micro
Et vous ?
Répondre avec citation
Partager