Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Apache Struts 2

apache  Apache Struts  java  remote code execution   martedì, 6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto (CVE-2016-1000031) in Apache Struts 2, un framework open source utilizzato per la creazione di applicazioni Web Java.

La vulnerabilità risiede nell’utilizzo in configurazione predefinita della libreria Commons FileUpload, parte della Apache Commons Collections (ACC), ed è legata ad un problema di deserializzazione di oggetti Java provenienti da fonti non fidate nella classe DiskFileItem. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto non autenticato di creare o cancellare file arbitrari ed eseguire codice malevolo nel contesto dell’applicazione affetta.

La falla è stata risolta nella versione 1.3.3 della libreria Commons FileUpload. Risultano affette le versioni di Apache Struts 2 fino alla 2.3.36 che includono una versione precedente di questa libreria.

Per risolvere questa vulnerabilità è necessario aggiornare Apache Struts 2 alla versione 2.5.12 o successiva, dopo appropriato testing.

La vulnerabilità è presente, oltre che in Apache Struts, anche nei seguenti prodotti di terze parti che utilizzano la libreria Commons FileUpload:

  • Oracle Retail Customer Management and Segmentation Foundation versioni 16.0 e 17.0
  • Oracle MICROS Relate CRM versioni 10.8 e 11.4
  • Novell NetIQ Sentinel versioni 7.4, 7.4.1 e  7.4.2
  • IBM Tivoli Application Dependency Discovery Manager versioni 7.2.2.5 e 7.3.0.3

Per maggiori informazioni su questa vulnerabilità e sui prodotti affetti è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Risolta vulnerabilità critica in WordPress 5.1.1

14 marzo 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica del noto CMS WordPress, presente nelle versioni fino alla 5.1.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe Digital Editions e Photoshop CC

13 marzo 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Adobe Digital Editions e per Adobe Photoshop CC che risolvono due vulnerabilità critiche che potrebbero consentire l'esecuzione di codice arbitrario nel contesto dell'utente corrente.Leggi tutto

Vulnerabilità critiche in switch Ethernet industriali Moxa

12 marzo 2019

Sono state scoperte diverse vulnerabilità critiche in switch Ethernet industriali delle famiglie IKS e EDS prodotti da Moxa.Leggi tutto