CVE-2017-5638 Vulnerabilidade do Apache Struts nos produtos OneSpan
ID do comunicado vasco-sa-20170313-struts
Número de revisão 1.2.
Data de lançamento 14 de março de 2017 às 08:00 UTC + 1
Última atualização 17 de março de 2017 12:00 PM UTC + 1
Resumo
Na segunda-feira, 6 de março de 2017, o projeto Apache Struts 2 emitiu um boletim de segurança sobre uma vulnerabilidade de Execução Remota de Código existente no Apache Struts 2.
Este comunicado de segurança contém informações sobre os produtos que foram afetados pela vulnerabilidade e informações sobre a disponibilidade de patches.
Produtos impactados
Os seguintes produtos são afetados pela vulnerabilidade CVE-2017-5638:
- Servidor de autenticação IDENTIKEY 3.5 e posterior
- Dispositivo IDENTIKEY 3.5.7.1 e posterior.
Produtos afetados
- IDENTIKEY Appliance
- Servidor de autenticação IDENTIKEY
- Dispositivo virtual IDENTIKEY
Descrição
A seguinte descrição de vulnerabilidade é extraída do Banco de Dados Nacional de Vulnerabilidades do NIST:
“O analisador de várias partes de Jacarta no Apache Struts 2 2.3.x antes de 2.3.32 e 2.5.x antes de 2.5.10.1 manipula incorretamente o upload de arquivos, o que permite que atacantes remotos executem comandos arbitrários por meio de uma # cmd = string em um cabeçalho HTTP do tipo de conteúdo criado , como explorado na natureza em março de 2017."
No escopo do IDENTIKEY Authentication Server e do IDENTIKEY Appliance, a vulnerabilidade está presente no componente de administração da web. A vulnerabilidade só pode ser explorada por um usuário mal-intencionado se ele tiver acesso aos recursos da web do componente de administração da web, como, por exemplo, a página de login do componente de administração da web.
Pontuação de gravidade
A tabela abaixo indica a pontuação de vulnerabilidade CVSS 2.0 da vulnerabilidade CVE-2017-5638 nos produtos da OneSpan.
| Pontuação Base CVSS: 6.8 (médio) | |||||
| Vetor de acesso | Complexidade de acesso | Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
| Rede | Médio | Nenhum | Parcial |
Parcial |
Parcial |
Correções do produto
O OneSpan lançou patches para os seguintes produtos:
- Servidor de autenticação IDENTIKEY 3.11 / Servidor de autenticação IDENTIKEY 3.11 R2
- Servidor de autenticação IDENTIKEY 3.10 / Servidor de autenticação IDENTIKEY 3.10 R2
- Servidor de autenticação IDENTIKEY 3.9
- Servidor de autenticação IDENTIKEY 3.8
- IDENTIKEY Appliance 3.10.11.x
- IDENTIKEY Appliance 3.11.12.x
Para limitar a capacidade de exploração da vulnerabilidade, os clientes devem limitar o acesso ao componente de administração da web IDENTIKEY, tanto quanto possível.
Localização
Os clientes com um contrato de manutenção podem obter lançamentos fixos de produtos no Portal do Cliente. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.
Referência
https://cwiki.apache.org/confluence/display/WW/S2-045
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.
Copyright © 2017 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.