Overslaan en naar de inhoud gaan

Exploits voor kritiek Apache-gat duiken op

Sites met webapplicatiesoftware Apache Struts hebben upgradewerk voor de boeg. Verschillende varianten exploitcode zijn nu publiekelijk beschikbaar om op afstand misbruik te kunnen maken van het recente grote gat in dat open source product.
Apache Software Foundation

Proof-of-Concept (PoC) code is beschikbaar op developerssite GitHub voor de kritieke kwetsbaarheid (CVE-2018-11776) die afgelopen week is onthuld in Apache Struts. De ontdekking is in april al gemeld aan de makers van Struts. Dat framework voor webapplicaties is kwetsbaar voor RCE-aanvallen (remote code execution). Kwaadwillenden kunnen zonder authenticatie op vatbare systemen eigen code daarop uitvoeren en zo mogelijk toegang verkrijgen tot websites en servers.

Één van de PoC-varianten is mogelijk niet werkbaar op nieuwere versies van Struts, waarin de kwetsbaarheid wel aanwezig is. Dit zou echter een kwestie van tijd en ontwikkelwerk zijn, wat kwaadwillenden naar verwachting wel willen investeren. Tegelijkertijd is het een kwestie van tijd en beheerwerk om de diepgaande kwetsbaarheid af te dekken. Bovendien zijn er nog verschillende andere exploits verschenen. Beheerders moeten dus aan de bak.

Advies: upgraden

De Apache Software Foundation, die toeziet op de ontwikkeling van het Struts-framework, biedt een workaround maar adviseert gebruikers met klem om te upgraden naar een nieuwere release. De afgelopen woensdag uitgebrachte versies 2.3.35 en 2.5.17 zijn niet kwetsbaar. Beide updates voor voorgaande versies in de twee ondersteunde release-reeksen (2.3 en 2.5) bevatten alleen securityfixes en zouden dus geheel compatibel moeten zijn met draaiende Struts-installaties. De opensourcestichting "verwacht geen backwards incompatibility issues". Mogelijk zijn nog oudere versies, die geen ondersteuning genieten, ook kwetsbaar, waarschuwt de Apache-stichting nog.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in