Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza per Apache Struts 2

apache  Apache Struts  denial-of-service   martedì, 5 dicembre 2017

La Apache Software Foundation ha pubblicato due bollettini di sicurezza riguardanti altrettante vulnerabilità in Apache Struts 2, un framework open source utilizzato per la creazione di applicazioni Web Java.

Se sfruttata con successo, la più grave di queste vulnerabilità può consentire ad un attaccante remoto di causare una condizione di denial of service su un sistema affetto.

Dettagli delle vulnerabilità (in Inglese):

  • [Medium] The REST Plugin is using an outdated JSON-lib library which is vulnerable and allow perform a DoS attack using malicious request with specially crafted JSON payload (CVE-2017-15707).
  • [Medium] A vulnerability was detected in the latest Jackson JSON library, which was reported here. Upgrade com.fasterxml.jackson to version 2.9.2 to address CVE-2017-7525.

Le vulnerabilità affiggono le versioni di Struts 2 dalla 2.5 alla 2.5.14. Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali.

Per risolvere queste vulnerabilità è necessario aggiornare Apache Struts 2 alla versione 2.5.14.1, dopo appropriato testing.

Per maggiori informazioni su queste vulnerabilità e sui prodotti affetti è possibile consultare i bollettini di sicurezza di Apache Struts 2 S2-054 e S2-055 (in Inglese).

Notizie correlate

Aggiornamento di sicurezza Android (febbraio 2018)

7 febbraio 2018

Google ha rilasciato l'aggiornamento di sicurezza di gennaio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità critica in CODESYS web server

5 febbraio 2018

È stata scoperta una vulnerabilità critica di tipo esecuzione di codice da remoto nel server Web utilizzato nella piattaforma CODESYS per sistemi di controllo industriale.Leggi tutto

Risolta vulnerabilità di tipo DoS in Cisco IOS XR su router ASR 9000

1 febbraio 2018

Cisco ha rilasciato un aggiornamento che risolve una grave vulnerabilità di tipo DoS nel prodotto software Cisco IOS XR 5.3.4 su router Cisco ASR serie 9000.Leggi tutto