Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Apache Struts 2

apache  Apache Struts  java  remote code execution   martedì, 6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto (CVE-2016-1000031) in Apache Struts 2, un framework open source utilizzato per la creazione di applicazioni Web Java.

La vulnerabilità risiede nell’utilizzo in configurazione predefinita della libreria Commons FileUpload, parte della Apache Commons Collections (ACC), ed è legata ad un problema di deserializzazione di oggetti Java provenienti da fonti non fidate nella classe DiskFileItem. Se sfruttata con successo, questa vulnerabilità potrebbe consentire ad un attaccante remoto non autenticato di creare o cancellare file arbitrari ed eseguire codice malevolo nel contesto dell’applicazione affetta.

La falla è stata risolta nella versione 1.3.3 della libreria Commons FileUpload. Risultano affette le versioni di Apache Struts 2 fino alla 2.3.36 che includono una versione precedente di questa libreria.

Per risolvere questa vulnerabilità è necessario aggiornare Apache Struts 2 alla versione 2.5.12 o successiva, dopo appropriato testing.

La vulnerabilità è presente, oltre che in Apache Struts, anche nei seguenti prodotti di terze parti che utilizzano la libreria Commons FileUpload:

  • Oracle Retail Customer Management and Segmentation Foundation versioni 16.0 e 17.0
  • Oracle MICROS Relate CRM versioni 10.8 e 11.4
  • Novell NetIQ Sentinel versioni 7.4, 7.4.1 e  7.4.2
  • IBM Tivoli Application Dependency Discovery Manager versioni 7.2.2.5 e 7.3.0.3

Per maggiori informazioni su questa vulnerabilità e sui prodotti affetti è possibile consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto