...

Scarica il bollettino PDF

by user

on
Category: Documents
29

views

Report

Comments

Transcript

Scarica il bollettino PDF
Computer Emergency Response Team
BOLLETTINO IT-CERT.160621.B01
Vulnerabilità multiple in Apache Struts
(CVE-2016-0785, CVE-2016-4430, CVE-2016-4431,
CVE-2016-4433, CVE-2016-4436, CVE-2016-4438,
CVE-2016-4465)
Doc.: IT-CERT.160621.B01
ver. 1.0 del 21/06/2016
Pagina 1 di 4
DESCRIZIONE
Apache Software Foundation Struts è un framework open source utilizzato per la creazione di applicazioni
Web Java.
Vulnerabilità multiple sono state scoperte in Apache Struts versione 2. Lo sfruttamento delle più gravi di
queste vulnerabilità potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario. A seconda
dei privilegi associati all’applicazione sfruttata, l’attaccante potrebbe essere in grado di installare
programmi, visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi.
Tentativi falliti di sfruttare queste vulnerabilità potrebbero portare al crash dell’applicazione con
conseguente condizione di denial of service.
Si riporta per informazione la lista completa delle vulnerabilità riscontrate, con i rispettivi codici CVE (per
maggiori informazioni si veda la sezione LINK UTILI).
Dettagli delle vulnerabilità (tra parentesi quadre il livello di gravità assegnato dal produttore):





[Media] Vulnerabilità di tipo esecuzione di codice remoto dovuta a doppia valutazione OGNL
(Object Graph Navigation Language) dei valori di attributi assegnati a determinati tag (CVE-20160785).
[Media] Vulnerabilità di tipo cross-site request forgery dovuta ad aggiramento della validazione dei
token (CVE-2016-4430).
[Medio-Bassa] Diverse vulnerabilità di tipo aggiramento di restrizioni di sicurezza possono
consentire l’esecuzione di azioni non autorizzate (CVE-2016-4431, CVE-2016-4433, CVE-2016-4436).
[Elevata] Vulnerabilità di tipo esecuzione di codice remoto quando viene utilizzato il plugin REST
che può consentire l’esecuzione di codice arbitrario lato server (CVE-2016-4438).
[Bassa] Vulnerabilità di tipo denial of dervice dovuta ad errata gestione dell’input da parte della
funzione URLvalidator (CVE-2016-4465).
Al momento non ci sono notizie che queste vulnerabilità vengano attivamente sfruttate in attacchi reali.
SOLUZIONE
Aggiornare Apache Struts ad una delle seguenti versioni, dopo appropriato testing:


2.3.29
2.5.1
In alternativa, è possibile applicare le soluzioni di mitigazione suggerite dal produttore nei relativi bollettini
di sicurezza (si veda la sezione LINK UTILI).
SISTEMI
Apache Struts versioni dalla 2.0.0 alla 2.3.28.1
Doc.: IT-CERT.160621.B01
ver. 1.0 del 21/06/2016
Pagina 2 di 4
LINK UTILI
Avvisi del produttore
https://struts.apache.org/docs/s2-035.html
https://struts.apache.org/docs/s2-036.html
https://struts.apache.org/docs/s2-037.html
https://struts.apache.org/docs/s2-038.html
https://struts.apache.org/docs/s2-039.html
https://struts.apache.org/docs/s2-040.html
https://struts.apache.org/docs/s2-041.html
Mitre CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0785
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4430
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4431
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4433
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4436
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4438
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4465
Doc.: IT-CERT.160621.B01
ver. 1.0 del 21/06/2016
Pagina 3 di 4
VALUTAZIONE CVSS
Relativamente alla valutazione della severity come metrica di base - da intendersi quale livello di
pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT Nazionale valuta i
parametri che concorrono al calcolo della Base Score secondo lo standard CVSS v.2 (Common CVSS Base
Score Exploitability Subscore Impact Subscore Vulnerabilities Scoring System), avvalendosi del tool messo a
disposizione dal sito del NIST (http://nvd.nist.gov/cvss.cfm).
Nello specifico, per la sola vulnerabilità CVE-2016-4438 e sulla base di informazioni preliminari soggette ad
aggiornamento, sono stati raggiunti i seguenti punteggi su una scala da 0 a 10.



CVSS Base Score: 6,8
Impact Subscore: 6,4
Exploitability Subscore: 8,6
NOTE
Le informazioni contenute nel presente bollettino sono fornite a meri fini informativi.
In nessun caso il CERT Nazionale può essere ritenuto responsabile di qualunque perdita, pregiudizio,
responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto,
incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino.
La versione PDF del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento
della pubblicazione.
Doc.: IT-CERT.160621.B01
ver. 1.0 del 21/06/2016
Pagina 4 di 4
Fly UP