Standortübergreifendes Scripting in der Apache Struts-Komponente, die in IDENTIKEY Authentication Server verwendet wird

Beratungs-ID vasco-sa-20151126-ias

Revisionsnummer 1.0

Erscheinungsdatum 26. November 2015 14:10 UTC + 1

Letztes Update 26. November 2015 14:10 UTC + 1

Zusammenfassung

Bestimmte Versionen von Apache Struts sind von einer Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting betroffen, wenn der Debug-Modus aktiviert ist oder wenn JSPs in einer Produktionsumgebung verfügbar gemacht werden. Diese Versionen von Apache Struts werden in IDENTIKEY Authentication Server verwendet. Obwohl der Debug-Modus deaktiviert ist, kann auf einige JSPs direkt auf dem IAS-Server zugegriffen werden.

Betroffene Produkte

  • IDENTIKEY (Virtual) Appliance-Versionen 3.8 und früher
  • IDENTIKEY Authentication Server-Versionen 3.8 und früher

Beschreibung

Das Apache Struts-Projekt gab im Oktober 2015 bekannt, dass Apache Struts Version 2.0.0 bis Version 2.3.16.3 von einer Sicherheitsanfälligkeit bezüglich Cross-Site-Scripting betroffen sind, wenn der Debug-Modus aktiviert ist oder wenn JSP-Dateien in einer Produktionsumgebung verfügbar gemacht werden. Diesen Sicherheitsanfälligkeiten wurden zwei CVE-Kennungen zugewiesen:

- CVE-2015-5169: Apache Struts ist anfällig für eine Cross-Site-Scripting-Sicherheitsanfälligkeit, wenn der Debug-Modus aktiviert ist. Ein entfernter Angreifer kann diese Sicherheitsanfälligkeit mithilfe einer speziell gestalteten URL ausnutzen, um ein Skript im Webbrowser eines Opfers im Sicherheitskontext der Hosting-Website auszuführen, sobald auf die URL geklickt wird.

- CVE-2015-2992: Apache Struts ist beim direkten Zugriff auf JSP-Dateien anfällig für eine Cross-Site-Scripting-Sicherheitsanfälligkeit. Ein entfernter Angreifer kann diese Sicherheitsanfälligkeit mithilfe einer speziell gestalteten URL ausnutzen, um ein Skript im Webbrowser eines Opfers im Sicherheitskontext der Hosting-Website auszuführen, sobald auf die URL geklickt wird. 

Sicherheitsanfälligkeit CVE-2015-5169 gilt nicht für den IDENTIKEY-Authentifizierungsdienst, da der Debug-Modus standardmäßig deaktiviert ist.

Sicherheitsanfälligkeit CVE-2015-2992 ist anwendbar, da es einige JSP-Dateien gibt, auf die über einen Browser direkt zugegriffen werden kann.

Severity Score

CVSS Base Score: 4.3
Greifen Sie auf Vector zu

Zugriffskomplexität

Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Keiner Teilweise Keiner

 

Produktkorrekturen

OneSpan wird diese Sicherheitsanfälligkeiten in den folgenden Versionen beheben:

  • IDENTIKEY (Virtual) Appliance 3.9
  • IDENTIKEY Authentication Server 3.9

Kunden können ihre IAS-Installation schützen, indem sie Änderungen an der Konfigurationsdatei web.xml vornehmen. Diese Änderung verhindert den direkten Zugriff auf JSPs, auf die nicht direkt zugegriffen werden sollte.

Um die Konfiguration zu ändern, müssen die folgenden Sicherheitsbeschränkungen und Sicherheitsrollen an den Web-App-Text in der Konfigurationsdatei web.xml angehängt werden:

Kein direkter JSP-Zugriff

No-JSP

/ Dekorateure / *

/umfassen/*

/ pages / *

/ Zauberer / *

keine Benutzer

Weisen Sie dieser Rolle keine Benutzer zu
keine Benutzer

Ort

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.

Referenz

- Apache Struts Security Bulletin S2-025 - https://struts.apache.org/docs/s2-025.html

- http://jvn.jp/en/jp/JVN88408929/index.html

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

🖨 Cross-Site-Scripting in der Apache Struts-Komponente, die in IDENTIKEY Authentication Server verwendet wird