CVE-2017-5638 Vulnerabilidad de Apache Struts en productos OneSpan

CVE-2017-5638 Vulnerabilidad de Apache Struts en productos OneSpan

ID de aviso vasco-sa-20170313-puntales

Número de revisión 1,2

Fecha de lanzamiento 14 de marzo de 2017 08:00 AM UTC + 1

Última actualización 17 de marzo de 2017 12:00 PM UTC + 1

Resumen

El lunes 06 de marzo de 2017, el proyecto Apache Struts 2 emitió un boletín de seguridad sobre una vulnerabilidad de ejecución remota de código que existe en Apache Struts 2. 

Este aviso de seguridad contiene información sobre los productos que han sido afectados por la vulnerabilidad y contiene información sobre la disponibilidad de parches.

Productos impactados

Los siguientes productos están afectados por la vulnerabilidad CVE-2017-5638: 

  • IDENTIKEY Authentication Server 3.5 y posterior 
  • Dispositivo IDENTIKEY 3.5.7.1 y posterior.

Productos afectados

  • Dispositivo IDENTIKEY
  • Servidor de autenticación IDENTIKEY
  • Dispositivo virtual IDENTIKEY

Descripción

La siguiente descripción de vulnerabilidad se extrae de la Base de datos de vulnerabilidad nacional NIST: 

“El analizador multiparte de Yakarta en Apache Struts 2 2.3.x antes de 2.3.32 y 2.5.x antes de 2.5.10.1 maneja mal la carga de archivos, lo que permite a los atacantes remotos ejecutar comandos arbitrarios a través de una cadena # cmd = en un encabezado HTTP Content-Type diseñado , como explotado en la naturaleza en marzo de 2017." 

En el ámbito del Servidor de autenticación IDENTIKEY y el Dispositivo IDENTIKEY, la vulnerabilidad está presente en el componente de administración web. La vulnerabilidad solo puede ser explotada por un usuario malintencionado si este usuario tiene acceso a los recursos web del componente de administración web, como por ejemplo la página de inicio de sesión del componente de administración web.

Puntuación de gravedad

La siguiente tabla indica la puntuación de vulnerabilidad CVSS 2.0 de la vulnerabilidad CVE-2017-5638 en los productos de OneSpan.

Puntuación base de CVSS: 6.8 (medio)
Vector de acceso Complejidad de acceso Autenticación Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Medio Ninguna Parcial

Parcial

Parcial

 

Arreglos de productos

OneSpan ha lanzado parches para los siguientes productos: 

  • IDENTIKEY Authentication Server 3.11 / IDENTIKEY Authentication Server 3.11 R2 
  • IDENTIKEY Authentication Server 3.10 / IDENTIKEY Authentication Server 3.10 R2
  • Servidor de autenticación IDENTIKEY 3.9 
  • Servidor de autenticación IDENTIKEY 3.8 
  • Dispositivo IDENTIKEY 3.10.11.x 
  • Dispositivo IDENTIKEY 3.11.12.x 

Para limitar la explotabilidad de la vulnerabilidad, los clientes deben limitar el acceso al componente de administración web IDENTIKEY tanto como sea posible.

Ubicación

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas del producto del Portal del cliente. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

https://cwiki.apache.org/confluence/display/WW/S2-045

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE. 

Copyright © 2017 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

cve-2017-5638-apache-struts-vulnerabilit y