Межсайтовый скриптинг в компоненте Apache Struts, используемом на сервере аутентификации IDENTIKEY

Консультативный ID Васко-SA-20151126-ИПИ

Номер ревизии 1,0

Дата выпуска 26 ноября 2015 14:10 UTC + 1

Последнее обновление 26 ноября 2015 14:10 UTC + 1

Резюме

Некоторые версии Apache Struts подвержены уязвимости межсайтового скриптинга, когда включен режим отладки или когда JSP выставляются в производственной среде. Эти версии Apache Struts используются на сервере аутентификации IDENTIKEY. Несмотря на то, что режим отладки отключен, некоторые JSP напрямую доступны на сервере IAS.

Затронутые продукты

  • IDENTIKEY (виртуальное) устройство версии 3.8 и более ранние
  • Сервер аутентификации IDENTIKEY версии 3.8 и более ранние

Описание

Проект Apache Struts объявил в октябре 2015 года о том, что на Apache Struts версии 2.0.0 до версии 2.3.16.3 распространяется уязвимость межсайтового скриптинга, когда включен режим отладки или когда файлы JSP предоставляются в производственной среде. Этим уязвимостям были назначены два идентификатора CVE:

- CVE-2015-5169: Apache Struts уязвим к уязвимости межсайтового скриптинга, когда включен режим отладки. Удаленный злоумышленник может воспользоваться этой уязвимостью, используя специально созданный URL-адрес для выполнения сценария в веб-браузере жертвы в контексте безопасности хост-веб-сайта после щелчка по URL-адресу.

- CVE-2015-2992: Apache Struts уязвим к уязвимости межсайтового скриптинга при непосредственном доступе к файлам JSP. Удаленный злоумышленник может воспользоваться этой уязвимостью, используя специально созданный URL-адрес для выполнения сценария в веб-браузере жертвы в контексте безопасности хост-веб-сайта после щелчка по URL-адресу. 

Уязвимость CVE-2015-5169 не применима к службе аутентификации IDENTIKEY, поскольку режим отладки по умолчанию отключен.

Уязвимость CVE-2015-2992 применима, поскольку есть некоторые файлы JSP, которые напрямую доступны через браузер.

Оценка серьезности

Базовая оценка CVSS: 4,3
Вектор доступа

Сложность доступа

Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть средний Никто Никто частичный Никто

 

Исправления продукта

OneSpan исправит эти уязвимости в следующих выпусках:

  • IDENTIKEY (виртуальное) устройство 3.9
  • IDENTIKEY сервер аутентификации 3.9

Клиенты могут защитить свою установку IAS, внеся изменения в файл конфигурации web.xml. Эта модификация запрещает прямой доступ к JSP, которые не должны быть доступны напрямую.

Чтобы изменить конфигурацию, следующие ограничения безопасности и роли безопасности должны быть добавлены к телу веб-приложения в файле конфигурации web.xml:

Нет прямого доступа к JSP

Нет-JSP

/ Декораторы / *

/включают/*

/ Страницы / *

/ Колдуны / *

нет-пользователей

Не назначайте пользователей на эту роль
нет-пользователей

Место расположения

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

- Бюллетень по безопасности Apache Struts S2-025 - https://struts.apache.org/docs/s2-025.html

- http://jvn.jp/en/jp/JVN88408929/index.html

- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2992

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2015 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Межсайтовый скриптинг в компоненте Apache Struts, используемом на сервере аутентификации IDENTIKEY