CVE-2017-5638 Sicherheitsanfälligkeit in Apache Struts in OneSpan-Produkten
Beratungs-ID vasco-sa-20170313-streben
Revisionsnummer 1.2
Erscheinungsdatum 14. März 2017 08:00 UTC + 1
Letztes Update 17. März 2017 12:00 UTC + 1
Zusammenfassung
Am Montag, den 06. März 2017, veröffentlichte das Apache Struts 2-Projekt ein Sicherheitsbulletin zu einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Apache Struts 2.
Diese Sicherheitshinweise enthält Informationen zu den Produkten, die von der Sicherheitsanfälligkeit betroffen sind, sowie Informationen zur Verfügbarkeit von Patches.
Betroffene Produkte
Folgende Produkte sind von der Sicherheitsanfälligkeit CVE-2017-5638 betroffen:
- IDENTIKEY Authentication Server 3.5 und höher
- IDENTIKEY Appliance 3.5.7.1 und höher.
Betroffene Produkte
- IDENTIKEY Appliance
- IDENTIKEY-Authentifizierungsserver
- IDENTIKEY Virtual Appliance
Beschreibung
Die folgende Beschreibung der Sicherheitsanfälligkeit wurde aus der NIST National Vulnerability Database extrahiert:
„Der Jakarta Multipart-Parser in Apache Struts 2 2.3.x vor 2.3.32 und 2.5.x vor 2.5.10.1 behandelt das Hochladen von Dateien falsch, sodass Angreifer von Remotestandorten aus beliebige Befehle über eine Zeichenfolge # cmd = in einem gestalteten HTTP-Header vom Typ Content ausführen können , wie im März 2017 in freier Wildbahn ausgebeutet."
Im Bereich von IDENTIKEY Authentication Server und IDENTIKEY Appliance ist die Sicherheitsanfälligkeit in der Webverwaltungskomponente vorhanden. Die Sicherheitsanfälligkeit kann nur von einem böswilligen Benutzer ausgenutzt werden, wenn dieser Benutzer Zugriff auf Webressourcen der Webverwaltungskomponente hat, z. B. auf die Anmeldeseite der Webverwaltungskomponente.
Severity Score
Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der CVE-2017-5638-Schwachstelle für OneSpan-Produkte an.
| CVSS Base Score: 6,8 (mittel) | |||||
| Greifen Sie auf Vector zu | Zugriffskomplexität | Authentifizierung | Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
| Netzwerk | Mittel | Keiner | Teilweise |
Teilweise |
Teilweise |
Produktkorrekturen
OneSpan hat Patches für die folgenden Produkte veröffentlicht:
- IDENTIKEY Authentication Server 3.11 / IDENTIKEY Authentication Server 3.11 R2
- IDENTIKEY Authentication Server 3.10 / IDENTIKEY Authentication Server 3.10 R2
- IDENTIKEY Authentication Server 3.9
- IDENTIKEY Authentication Server 3.8
- IDENTIKEY Appliance 3.10.11.x
- IDENTIKEY Appliance 3.11.12.x.
Um die Ausnutzbarkeit der Sicherheitsanfälligkeit einzuschränken, sollten Kunden den Zugriff auf die IDENTIKEY-Webverwaltungskomponente so weit wie möglich einschränken.
Ort
Kunden mit einem Wartungsvertrag können feste Produktfreigaben über das Kundenportal erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.
Referenz
https://cwiki.apache.org/confluence/display/WW/S2-045
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638
Haftungsausschluss
WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.
Copyright © 2017 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.