ID do comunicado vasco-sa-20151126-ias
Número de revisão 1.0
Data de lançamento 26 de novembro de 2015 02:10 UTC + 1
Última atualização 26 de novembro de 2015 02:10 UTC + 1
Resumo
Certas versões do Apache Struts são afetadas por uma vulnerabilidade de script entre sites quando o modo de depuração é ativado ou quando as JSPs são expostas em um ambiente de produção. Essas versões do Apache Struts estão sendo usadas no servidor de autenticação IDENTIKEY. Embora o modo de depuração esteja desativado, algumas JSPs estão diretamente acessíveis no servidor IAS.
Produtos impactados
- IDENTIKEY (Virtual) Appliance versões 3.8 e anteriores
- Servidor de autenticação IDENTIKEY versões 3.8 e anteriores
Descrição
O projeto Apache Struts anunciou em outubro de 2015 que o Apache Struts versão 2.0.0 até a versão 2.3.16.3 é afetado por uma vulnerabilidade de script entre sites quando o modo de depuração é ativado ou quando os arquivos JSP são expostos em um ambiente de produção. Dois identificadores do CVE foram atribuídos a essas vulnerabilidades:
- CVE-2015-5169: O Apache Struts é vulnerável a uma vulnerabilidade de script entre sites quando o modo de depuração está ativado. Um invasor remoto pode explorar essa vulnerabilidade usando um URL especialmente criado para executar o script no navegador da vítima no contexto de segurança do site de hospedagem, assim que o URL for clicado.
- CVE-2015-2992: O Apache Struts é vulnerável a uma vulnerabilidade de script entre sites ao acessar arquivos JSP diretamente. Um invasor remoto pode explorar essa vulnerabilidade usando um URL especialmente criado para executar o script no navegador da vítima dentro do contexto de segurança do site de hospedagem, assim que o URL for clicado.
A vulnerabilidade CVE-2015-5169 não é aplicável ao serviço de autenticação IDENTIKEY, pois o modo de depuração está desativado por padrão.
A vulnerabilidade CVE-2015-2992 é aplicável, pois existem alguns arquivos JSP acessíveis diretamente usando um navegador.
Pontuação de gravidade
| Pontuação Base CVSS: 4.3 | |||||
| Vetor de acesso |
Complexidade de acesso |
Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Nenhum | Parcial | Nenhum |
Correções do produto
O OneSpan corrigirá essas vulnerabilidades nos próximos lançamentos seguintes:
- IDENTIKEY (Virtual) Appliance 3.9
- Servidor de autenticação IDENTIKEY 3.9
Os clientes podem proteger sua instalação do IAS fazendo uma modificação no arquivo de configuração web.xml. Essa modificação proibirá o acesso direto a JSPs que não devem ser diretamente acessíveis.
Para alterar a configuração, as seguintes restrições de segurança e funções de segurança devem ser anexadas ao corpo do aplicativo da web no arquivo de configuração web.xml:
Nenhum acesso direto ao JSP
No-JSP
/ decoradores / *
/incluir/*
/Páginas/*
/ assistentes / *
sem usuários
Não atribua usuários a essa função
sem usuários
Localização
Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.
Referência
- Boletim de segurança Apache Struts S2-025 - https://struts.apache.org/docs/s2-025.html
- http://jvn.jp/en/jp/JVN88408929/index.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.
Direitos autorais © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.
Crip Script entre sites no componente Apache Struts usado no IDENTIKEY Authentication Server