Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Apache Struts 2

apache  Apache Struts  java  remote code execution   martedì, 6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto (CVE-2016-1000031) in Apache Struts 2, un framework open source utilizzato per la creazione di applicazioni Web Java.

La vulnerabilità risiede nell’utilizzo in configurazione predefinita della libreria Commons FileUpload, parte della Apache Commons Collections (ACC), ed è legata ad un problema di deserializzazione di oggetti Java provenienti da fonti non fidate nella classe DiskFileItem. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto non autenticato di creare o cancellare file arbitrari ed eseguire codice malevolo nel contesto dell’applicazione affetta.

La falla è stata risolta nella versione 1.3.3 della libreria Commons FileUpload. Risultano affette le versioni di Apache Struts 2 fino alla 2.3.36 che includono una versione precedente di questa libreria.

Per risolvere questa vulnerabilità è necessario aggiornare Apache Struts 2 alla versione 2.5.12 o successiva, dopo appropriato testing.

La vulnerabilità è presente, oltre che in Apache Struts, anche nei seguenti prodotti di terze parti che utilizzano la libreria Commons FileUpload:

  • Oracle Retail Customer Management and Segmentation Foundation versioni 16.0 e 17.0
  • Oracle MICROS Relate CRM versioni 10.8 e 11.4
  • Novell NetIQ Sentinel versioni 7.4, 7.4.1 e  7.4.2
  • IBM Tivoli Application Dependency Discovery Manager versioni 7.2.2.5 e 7.3.0.3

Per maggiori informazioni su questa vulnerabilità e sui prodotti affetti è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Aggiornamento di sicurezza Android (novembre 2018)

7 novembre 2018

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Vulnerabilità in Apache Tomcat JK Connector

5 novembre 2018

È stata scoperta una vulnerabilità di gravità elevata in Apache Tomcat JK Connector che potrebbe consentire ad un attaccante remoto di ottenere informazioni potenzialmente sensibili.Leggi tutto

Falla in Systemd sfruttabile per compromettere sistemi Linux

30 ottobre 2018

È stata scoperta una grave vulnerabilità nel client DHCPv6 in Systemd che potrebbe consentire esecuzione di codice arbitrario o condizioni di denial of service sui sistemi affetti.Leggi tutto