Une importante faille de sécurité a été découverte dans un composant d’Apache Struts 2. Elle est déjà exploitée et peut permettre une exécution de code à distance. Il est recommandé d’appliquer au plus vite le correctif, disponible dans une mise à jour.
Au moment de sa découverte, la faille était déjà exploitée. Apache a fini par communiquer dessus lundi, confirmant dans sa dangerosité et son caractère critique, puisqu’elle peut être exploitée à distance. Elle a été découverte par les chercheurs en sécurité de Talos, la branche dédiée à ces problèmes chez Cisco.
Elle réside plus particulièrement dans Apache Struts, une infrastructure pour les applications web. Ce framework MVC (Model-View-Controller) permet la création d’applications Java, avec le support des techniques que l’on peut en attendre aujourd’hui, notamment JSON, REST et AJAX. Or, le parseur Jakarta Multipart présente une faiblesse en fonction des données qu’il est amené à traiter.
Si un pirate réussit à lui faire lire des données spécialement conçues et comportant une certaine valeur Content-Type, une exception est générée et peut être utilisée pour afficher un message d’erreur à l’utilisateur. À partir de là, il devient possible pour le pirate de déclencher le téléchargement d’une charge virale, qui peut contenir différentes menaces selon les cas, dont un bot destiné à mettre en place des attaques par déni de service plus tard. Les pirates tentent en outre de s’assurer une persistance dans la machine en plaçant un fichier binaire dans la séquence de démarrage.
Dans la foulée, et puisque la faille était déjà exploitée, les chercheurs ont publié un prototype d’exploitation. En d’autres termes, l’attention portée au problème n’a pu qu’augmenter. Il est donc recommandé aux utilisateurs de mettre à jour le plus rapidement possible Apache Struts vers les versions 2.3.32 or 2.5.10.1, voire de changer d’implémentation du parseur, comme indiqué par Apache.
Commentaires (36)
#1
Y a encore des gens qui utilisent Struts ? ^^
#2
Les pirates apparemment
" />
#3
oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien
Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…
elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau
#4
Si ton travail t’insupporte tant, laisse le à un autre, il sera sûrement content.
#5
#6
+1, y’a que ça de vrai.
" />
#7
Je comprends pas trop c’est un module à part ou c’est installé de base quand on installe Apache ? Quand on récupère les packets sur distrib linux par exemple.
#8
#9
Non, c’est un framework pour faire des applications web en Java (le java est coté serveur, à ne pas confondre avec des applets). Concrètement, ça se présente sous la forme de plusieurs jars (l’équivalent de dll) qui sont embarqués dans l’application (comme un programme sous windows embarque des dlls).
Le seul rapport entre Struts 2 et le serveur apache, c’est qu’ils sont développés par la fondation apache.
#10
Ah d’accord merci
" />
#11
#12
lol ?
#13
Dans mon bureau, c’est plutôt celui-ci qui est affiché
" />
http://www.commitstrip.com/en/2013/03/08/ceci-est-un-message-de-prevention/?
#14
#15
Struts 2… je ne l’ai jamais croisé. Struts 1 oui mais Struts 2 je ne l’ai franchement pas vu des masses.
Après pour s’économiser une bonne partie de la charge de travail une politique devops avec des tests automatisés et des procédures d’installation automatisées peut sauver la vie et réduire le temps de travail à quelques minutes voire une matinée tout au plus.
#16
Syndrome français. En Belgique on n’a pas à se plaindre.
Après, vos jobs sont au niveau de la qualité de vos formations. Un bac+5 en info qui ne sait pas coder, ça m’a toujours fait rire de le voir se faire embaucher comme dev.
#17
#18
#19
#20
Non, c’est du vécu… Il y a une réelle différence au niveau de la formation et de la considération professionelle. Rien de péjoratif.
#21
En adoptant l’attitude de me dire ouvertement que j’ai un complexe de supériorité tout en n’essayant absolument pas de comprendre si effectivement le système d’éducation français n’est pas la source de la faible perception du métier d’informaticien en France, tu tombes finalement dans le cliché de l’hopital qui se moque de la charité.
Je peux t’assurer que le métier d’informaticien est perçu bien différemment dans nos deux pays pour y avoir résidé/travaillé. Quand on voit la qualité des BAC+2 techniciens qui sont embauchés pour faire des activités d’ingénieurie, faut pas s’étonner que le métier soit mal vu.
A plus grande échelle, la France a également une administration très lourde et, jusqu’à peu, un gros retard technologique dans la vision de ses élites. Pas d’e-Administration, pas d’e-Banking très développé, pas d’accès à Internet Haut-Débit pour chacun, une vision de “l’informatique, c’est accessoire”.
Et pour éviter de me reprendre un complexe de supériorité trollesque en réponse: Je n’ai pas dit que la Belgique était parfaite sur tous ces points.
#22
#23
Euh….
Je dis pas que tout est parfait mais beaucoup de démarches administratives se font en ligne…. Y compris renouveler son passeport ou carte d’identité pour moi qui suis à l étranger.
J’ai toujours fait mes démarches bancaires en ligne depuis plus de 10 ans et tout le monde autour de moi également…
J’ai toujours eu du “haut debit” depuis que j’ai 13⁄14 ans sans vivre en centre ville… Après il est plus facile techniquement de mettre en place des infrastructures en Belgique de par la densité de population et probablement les sols qui doivent être relativement tendre…
Bref tu as de gros préjugés sur la France même si y’a beaucoup de choses qui devraient changer.
#24
Voir mon autre commentaire. Je ne vais pas faire dans le constructif quand la première réaction c’est “Beau troll”. :)
#25
#26
Les préjugés ne le sont que lorsque ce sont des images que l’on se fait d’une réalité.
Or, quand on y a vécu, ce ne sont pas des préjugés.
En fait, ce qui dérange, c’est que j’aie spécifié que je vivais en Belgique, je ne suis pas “lun de ceux qui peut critiquer, vil étranger”. :-)
#27
On tombe dans le “racisme” et l’insulte maintenant… Bravo :)
#28
#29
Ok pour les étudiants… je suis pas partisan des baptêmes et autres. De là à réduire tous les ingénieurs/bacheliers en informatique à ceux qui ne finiront jamais leurs études, c’est malvenu.
Toujours est-il que le fond du débat est la considération du métier d’informaticien en France versus celle qui en est faite en Belgique (rémunération, statut, avantages, …). Et toi tu dévies sur “Vous, les belges, vous êtes tous des ivrognes, et on parle même pas des nordistes (sous-entendu ?)”. Niveau hors-sujet, t’es pas mal.
#30
C’est vendredi faut pas chercher.
" />
" /> ).
Sinon je suis d’accord pour dire qu’a force de noter les établissements selon leur taux de réussite et a faire croire au “plus il a de diplôme mieux il s’en sortira” on a bien pourri la qualité des diplômes (je sais pas comment ça se passe ailleurs qu’en France alors je parle que de la France).
En 1994 un CM1 se moquait d’un CM2 qui n’avait pas compris son cours de basic.
En 2017 on rigole d’un bac +5 qui ne sait pas coder (le bac +3 lui ça va il est pardonné
#31
#32
Non, les nordistes pour moi = les flamands :)
#33
AAAAAAHHHH. Autant pour moi
" />
#34
#35
Absolument pas. Je prends le cas de l’informaticien et de son statut. Il est différent dans nos deux pays.
Toi tu en fais une bonne grosse généralité pour justifier le fait de me traiter de troll. Tu esquives le fond…
#36