+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 273
    Points : 8 838
    Points
    8 838

    Par défaut Apache Struts : une faille dans le framework permet l’exécution de code à distance

    Apache Struts : une faille dans le framework permet l’exécution de code à distance
    Si la version utilisée est antérieure à 2.5.13

    L’équipe de chercheurs en sécurité qui maintient la plateforme lgtm.com a découvert une faille de sécurité critique dans Apache Struts. Toutes les applications Web conçues avec des versions du framework antérieures à 2.5.13 (disponible depuis hier en version stable) ou utilisant le plugin REST sont vulnérables.

    Man Yue Mo, le chercheur à l’origine de la communication, explique que la faille résulte de la façon dont Java transforme un flux d’octets en copie d’un objet, processus auquel on donne le nom de désérialisation. « Des vulnérabilités similaires, pouvant déboucher sur l’exécution de code à distance, sont apparues ces dernières années », explique le chercheur qui a tenu à rappeler le cas de la bibliothèque Apache Commons Collection.

    « Par exemple, Apache Struts utilise l’interface ContentTypeHandler. Elle convertit des données en objets Java, ce qui fait que toute classe qui implémente cette interface est potentiellement d’intérêt », explique le chercheur qui attire particulièrement l’attention sur la méthode void toObject(Reader in, Object target). Et pour cause, le premier paramètre de cette dernière est contrôlé par un utilisateur distant via une requête HTTP ou une connexion socket dédiée.

    « Les données contenues dans le premier argument (In) passé à la méthode toObject doivent être considérées comme non fiables », ajoute le chercheur qui laisse ainsi comprendre quel est le problème de fond : les méthodes chargées de la désérialisation procèdent à l’opération sans vérification de la fiabilité des données passées à la méthode toObject. Cet état de choses ouvre la possibilité à un cybercriminel d’exécuter du code malicieux sur un serveur infecté.

    Les chercheurs ont mis l’équipe de développement d’Apache Struts au courant de ces faits le 17 juillet dernier. Cette dernière a procédé à des modifications de l’API, lesquelles ont été intégrées à la release 2.5.13 déjà à disposition. Il faudrait néanmoins noter que 65 % des entreprises du classement Fortune 100 sont susceptibles d’être affectées par cette faille puisque les mises à jour sont généralement négligées.

    « Le framework Struts est utilisé par une multitude d’organisations. Il s’agit d’une faille importante puisque le framework est généralement utilisé pour concevoir des applications Web auxquelles le public a accès. Struts est utilisé dans plusieurs systèmes de réservations pour aéroports ainsi que dans bon nombre d’institutions financières qui l’utilisent pour des applications de banque en ligne. Par-dessus le marché, la faille est extrêmement aisée à exploiter : tout ce qu’il faut à un cybercriminel c’est un navigateur. Les organisations doivent procéder à une mise à jour dans les plus brefs délais », a averti le chercheur.

    « En raison de la sévérité de cette faille, les détails supplémentaires seront tenus secrets pour le moment. Le billet de blog sera mis à jour dans les semaines à venir », a conclu le chercheur.

    Source : Annonce lgtm, Explications Man Yue Mo

    Et vous ?

    Qu'en pensez-vous ?

    Utilisez-vous Apache Struts pour le développement d’applications Web ? Aviez-vous connaissance de cette faille ?

    Voir aussi :

    La faille dans Apache Struts 2 a affecté plus de 29 millions de sites parmi lesquels des sites gouvernementaux français
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    octobre 2013
    Messages
    37
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : octobre 2013
    Messages : 37
    Points : 91
    Points
    91

    Par défaut

    Finalement Apache n'est pas exempt de failles

  3. #3
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2015
    Messages
    46
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 22
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2015
    Messages : 46
    Points : 63
    Points
    63

    Par défaut

    Citation Envoyé par Asmodan Voir le message
    Finalement Apache n'est pas exempt de failles
    Tu m'appelles quand tu trouves quelque chose sans aucune faille en informatique.

  4. #4
    Membre actif
    Profil pro
    Inscrit en
    juin 2006
    Messages
    104
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 104
    Points : 233
    Points
    233

    Par défaut

    Un ordinateur éteint

  5. #5
    Membre confirmé Avatar de Cincinnatus
    Homme Profil pro
    Développeur Java
    Inscrit en
    mars 2007
    Messages
    206
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Service public

    Informations forums :
    Inscription : mars 2007
    Messages : 206
    Points : 584
    Points
    584

    Par défaut

    Citation Envoyé par Mimoza Voir le message
    Un ordinateur éteint
    S'il est éteint, les failles potentielles ne sont pas utilisables, mais elles peuvent quand même exister (en attendant le redémarrage).

  6. #6
    Membre régulier
    Homme Profil pro
    Consultant communication & réseaux
    Inscrit en
    octobre 2013
    Messages
    37
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant communication & réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : octobre 2013
    Messages : 37
    Points : 91
    Points
    91

    Par défaut

    Citation Envoyé par kopbuc Voir le message
    Tu m'appelles quand tu trouves quelque chose sans aucune faille en informatique.
    Si on développe en partant que des failles peuvent exister, on devrait prendre plus le temps de tester dans tous les sens : mais on ne le fait pas car trop long et trop couteux.
    Les clients testent c'est gratuit

    Enfin de toute manière c'est un éternel débat

Discussions similaires

  1. Réponses: 31
    Dernier message: 12/05/2016, 10h12
  2. Réponses: 11
    Dernier message: 25/06/2014, 17h06
  3. Une faille dans iOS 4.1 permet un vol des données personnelles
    Par Katleen Erna dans le forum Actualités
    Réponses: 10
    Dernier message: 28/10/2010, 10h47
  4. Réponses: 10
    Dernier message: 28/10/2010, 10h47
  5. Une faille dans QuickTime permet une attaque par drive-by sur IE
    Par Katleen Erna dans le forum Actualités
    Réponses: 1
    Dernier message: 31/08/2010, 18h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo