Sicherheitsanfälligkeit bezüglich Remotecodeausführung in der Apache Struts 2-Komponente in OneSpan-Produkten

Beratungs-ID onespan-sa-20180828-Streben

Revisionsnummer 1.1

Erscheinungsdatum 28. August 2018 17:00 UTC + 1

Letztes Update 31. August 2018 09:30 UTC + 1

Zusammenfassung

Am 22. August 2018 veröffentlichte das Apache Struts-Projekt ein Security Bulletin über eine in Apache Struts 2 vorhandene Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Diese Sicherheitsanfälligkeit wird als CVE-2018-11776 bezeichnet. Die Sicherheitsanfälligkeit kann es einem nicht authentifizierten Remoteangreifer ermöglichen, beliebigen Code auf einem Zielsystem auszuführen.

Diese Sicherheitsempfehlung enthält Informationen zu den von der Sicherheitsanfälligkeit betroffenen OneSpan-Produkten sowie Informationen zur Verfügbarkeit von Hotfixes.

Betroffene Produkte

Folgende OneSpan-Produkte sind von der Sicherheitsanfälligkeit CVE-2018-11776 betroffen:

  • Authentication Server 3.8 und höher
  • Appliance 3.8.9.0 und höher

Betroffene Produkte

  • IDENTIKEY Appliance
  • IDENTIKEY-Authentifizierungsserver
  • IDENTIKEY Virtual Appliance

Beschreibung

Die Sicherheitsanfälligkeit besteht in Apache Struts, da die betroffene Software vom Benutzer bereitgestellte Eingaben nicht ausreichend validiert und die Verwendung von Ergebnissen ohne Namespace-Wert und die Verwendung von URL-Tags ohne Wert oder Aktion ermöglicht. In Fällen, in denen obere Aktionen oder Konfigurationen auch keinen Namespace oder Wildcard-Namespace haben, kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine Anforderung sendet, die böswillige Eingaben zur Verarbeitung an die betroffene Anwendung sendet. Bei Erfolg kann der Angreifer beliebigen Code im Sicherheitskontext der betroffenen Anwendung auf dem Zielsystem ausführen.

Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer eine Anforderung senden, die böswillige Eingaben an das Zielsystem sendet. Dies erschwert die Ausnutzung in Umgebungen, in denen der Netzwerkzugriff von nicht vertrauenswürdigen Quellen eingeschränkt wird.

Im Umfang von OneSpans Authentication Server, Appliance und Virtual Appliance ist die Sicherheitsanfälligkeit in der Webverwaltungskomponente vorhanden. Die Sicherheitsanfälligkeit kann nur von einem böswilligen Benutzer ausgenutzt werden, wenn dieser Benutzer Zugriff auf Webressourcen der Webverwaltungskomponente hat, z. B. auf die Anmeldeseite der Webverwaltungskomponente.

Severity Score

Die folgende Tabelle gibt den CVSS 2.0-Schwachstellenwert der CVE-2018-11776-Schwachstelle in OneSpan-Produkten an.

CVSS Base Score: 6,8 (mittel)
Greifen Sie auf Vector zu Zugriffskomplexität

Authentifizierung

 Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Teilweise Teilweise Teilweise

 

Produktkorrekturen

OneSpan veröffentlicht Hotfixes für die folgenden Produkte:

  • Authentifizierungsserver 3.8.2, 3.9.1, 3.10.1 R2, 3.11.1 R2, 3.12.2 R3, 3.13.1 R2, 3.14.1 R2, 3.15, 3.16
  • Appliance 3.8.9.0, 3.8.9.1, 3.9.10.1, 3.9.10.0, 3.10.11.0, 3.11.12.1, 3.11.12.0, 3.12.13.0, 3.12.13.1, 3.13.14.0, 3.14.15.0

OneSpan veröffentlicht Patches für die folgenden Produkte: Appliance 3.16.

Hotfixes für Authentication Server werden voraussichtlich Ende der Woche vom 27. August 2018 verfügbar sein. Hotfixes und Patches für Appliance werden voraussichtlich Ende der Woche vom 3. September 2018 verfügbar sein.

Um die Ausnutzbarkeit der Sicherheitsanfälligkeit einzuschränken, sollten Kunden den Zugriff auf die Webverwaltungskomponente so weit wie möglich einschränken. 

Ort

Kunden mit einem Wartungsvertrag können feste Produktfreigaben über das Kundenportal erhalten. Kunden ohne Wartungsvertrag sollten sich an ihren örtlichen Vertriebsmitarbeiter wenden.

Referenz

[1] https://cwiki.apache.org/confluence/display/WW/S2-057

[2] https://nvd.nist.gov/vuln/detail/CVE-2018-11776

Haftungsausschluss

WÄHREND aller zumutbaren IST INFORMATION PROZESS gemacht und bieten, dass Inhalt und Informationen in diesem Dokument WERDEN „AS IS“ UND „WIE VERFÜGBAR“ OHNE VERTRETUNG oder Befürwortung und ohne jegliche ausdrückliche oder implizierte Gewährleistung DER WÄHRUNGS GENAU, ALLES IST, VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GARANTIE, EINSCHLIESSLICH DER GARANTIEN FÜR MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. ONESPAN behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sobald neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2018 OneSpan North America, Inc. Alle Rechte vorbehalten.

Sicherheitsanfälligkeit bezüglich Remotecodeausführung in der Apache Struts 2-Komponente in OneSpan s