Apache Struts : le framework victime de failles rendant vulnérables les applications serveurs créées
Apache Struts : le framework victime de failles rendant vulnérables les applications serveurs créées
qui deviennent des cibles pour les hackers chinois
Alors que suite à une faille critique l'Apache Software Foundation a publié un correctif pour les versions vulnérables d'Apache Struts, le framework de développement d'applications web Java pour l'édition entreprise, le constat c'est que cette mise à jour n'est pas très répandue.
Noriaki Hayashi, chercheur en sécurité pour la firme Trend Micro, reporte que des hackers chinois se servent d'un outil spécialisé pour compromettre des applications développées avec les versions vulnérables du framework.
L'outil commercialisé sur le marché noir, permet à ces deniers d'exploiter les vulnérabilités CVE-2013-2251, CVE-2013-1966, CVE-2011-3923, et CVE-2010-1870 qui donnent toutes la possibilité au hacker d'exécuter du code arbitraire dans l'application distante grâce à un webshell.
Le chercheur confirme entre autre que de nombreux sites asiatiques sont victimes des attaques générées par cet outil, traduisant ainsi la forte présence sur la toile d'applications développées avec les versions vulnérables du Framework.
Par ailleurs il recommande vivement aux développeurs d'installer la mise à jour sécurisée du Framework.
:fleche:Télécharger Apache Struts 2.3.15.1
Source : blog Trend Micro
Et vous ?
:fleche: Utilisez-vous Apache Struts ?
Une mise à jour pour Apache Struts est disponible en téléchargement
Une mise à jour pour Apache Struts est disponible en téléchargement
elle apporte des correctifs de sécurité majeurs
Apache Struts 2.3.15.2 la mise à jour pour le framework open source de création d’applications web en Java est disponible. Celle-ci apporte des correctifs de sécurité majeurs pour des vulnérabilités rencontrées dans la version 2.3.15.1.
A titre de rappel, un récent rapport de sécurité soulignait que les utilisateurs d’Apache Struts avaient tendance à utiliser des versions vulnérables du framework. Struts 2.3.15.1 avait d’ailleurs été recommandé aux utilisateurs afin de les protéger des menaces de sécurité.
Par défaut, la fonctionnalité DMI (Dynamic Method Invocation) est désactivée dans Apache Struts 2.3.15.2. Pour l’équipe de développement, celle-ci constituait une menace de sécurité réelle pour les utilisateurs de la version 2.3.15.1.
On note également que la vulnérabilité de type « Broken Access control » (qui donne la possibilité à un hacker d’avoir accès à certaines ressources alors qu’elles lui sont interdites en temps normal) qui affectait Struts 2.3.15.1 a été aussi corrigée.
Les développeurs tout comme les autres utilisateurs sont vivement appelés à installer cette mise à jour et aussi celles qui la suivront pour éviter toute forme de désagrément.
:fleche: Télécharger Apache Struts 2.3.15.2
Source : Apache Struts
Et vous ?
:fleche: Utilisez-vous Apache Struts ?