Comments
Description
Transcript
Scarica il bollettino PDF
Computer Emergency Response Team BOLLETTINO IT-CERT.160621.B01 Vulnerabilità multiple in Apache Struts (CVE-2016-0785, CVE-2016-4430, CVE-2016-4431, CVE-2016-4433, CVE-2016-4436, CVE-2016-4438, CVE-2016-4465) Doc.: IT-CERT.160621.B01 ver. 1.0 del 21/06/2016 Pagina 1 di 4 DESCRIZIONE Apache Software Foundation Struts è un framework open source utilizzato per la creazione di applicazioni Web Java. Vulnerabilità multiple sono state scoperte in Apache Struts versione 2. Lo sfruttamento delle più gravi di queste vulnerabilità potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario. A seconda dei privilegi associati all’applicazione sfruttata, l’attaccante potrebbe essere in grado di installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi. Tentativi falliti di sfruttare queste vulnerabilità potrebbero portare al crash dell’applicazione con conseguente condizione di denial of service. Si riporta per informazione la lista completa delle vulnerabilità riscontrate, con i rispettivi codici CVE (per maggiori informazioni si veda la sezione LINK UTILI). Dettagli delle vulnerabilità (tra parentesi quadre il livello di gravità assegnato dal produttore): [Media] Vulnerabilità di tipo esecuzione di codice remoto dovuta a doppia valutazione OGNL (Object Graph Navigation Language) dei valori di attributi assegnati a determinati tag (CVE-20160785). [Media] Vulnerabilità di tipo cross-site request forgery dovuta ad aggiramento della validazione dei token (CVE-2016-4430). [Medio-Bassa] Diverse vulnerabilità di tipo aggiramento di restrizioni di sicurezza possono consentire l’esecuzione di azioni non autorizzate (CVE-2016-4431, CVE-2016-4433, CVE-2016-4436). [Elevata] Vulnerabilità di tipo esecuzione di codice remoto quando viene utilizzato il plugin REST che può consentire l’esecuzione di codice arbitrario lato server (CVE-2016-4438). [Bassa] Vulnerabilità di tipo denial of dervice dovuta ad errata gestione dell’input da parte della funzione URLvalidator (CVE-2016-4465). Al momento non ci sono notizie che queste vulnerabilità vengano attivamente sfruttate in attacchi reali. SOLUZIONE Aggiornare Apache Struts ad una delle seguenti versioni, dopo appropriato testing: 2.3.29 2.5.1 In alternativa, è possibile applicare le soluzioni di mitigazione suggerite dal produttore nei relativi bollettini di sicurezza (si veda la sezione LINK UTILI). SISTEMI Apache Struts versioni dalla 2.0.0 alla 2.3.28.1 Doc.: IT-CERT.160621.B01 ver. 1.0 del 21/06/2016 Pagina 2 di 4 LINK UTILI Avvisi del produttore https://struts.apache.org/docs/s2-035.html https://struts.apache.org/docs/s2-036.html https://struts.apache.org/docs/s2-037.html https://struts.apache.org/docs/s2-038.html https://struts.apache.org/docs/s2-039.html https://struts.apache.org/docs/s2-040.html https://struts.apache.org/docs/s2-041.html Mitre CVE ID http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0785 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4430 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4431 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4433 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4436 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4438 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4465 Doc.: IT-CERT.160621.B01 ver. 1.0 del 21/06/2016 Pagina 3 di 4 VALUTAZIONE CVSS Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common CVSS Base Score Exploitability Subscore Impact Subscore Vulnerabilities Scoring System), avvalendosi del tool messo a disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm). Nello specifico, per la sola vulnerabilità CVE-2016-4438 e sulla base di informazioni preliminari soggette ad aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10. CVSS Base Score: 6,8 Impact Subscore: 6,4 Exploitability Subscore: 8,6 NOTE Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi. In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Doc.: IT-CERT.160621.B01 ver. 1.0 del 21/06/2016 Pagina 4 di 4