Accueil > Nouvelles Cyber > CVE-2018-11776: Nouveau Struts critique Flaw pourrait être pire que Equifax
CYBER NOUVELLES

CVE-2018-11776: Nouveau Struts critique Flaw pourrait être pire que Equifax

Une nouvelle vulnérabilité a été découverte - le genre qui pourrait se révéler moins bons que celui qui a déclenché la violation Equifax. La vulnérabilité a été identifiée comme CVE-2018-11776, demeurant à la fonctionnalité de base de Apache Jambe. Il est une vulnérabilité d'exécution de code à distance qui affecte toutes les versions de Apache Struts 2.




La violation de l'année dernière Equifax a également impliqué une faille de sécurité dans Apache Struts, de sorte que la découverte d'une faille encore plus dangereuse est assez alarmante. La nouvelle vulnérabilité, CVE-2018-11776, est situé dans le cadre de Web open source, et selon les experts de sécurité, il pourrait dépasser les dégâts, nous avons assisté à 2017.

CVE-2018-11776 Présentation technique

Cette dernière vulnérabilité a été Struts découvert par le chercheur Man Yue Mo qui fait partie de l'équipe de recherche Semmle. CVE-2018-11776 réside dans la fonctionnalité de base de contrefiches, et il pourrait permettre l'exécution de code à distance lorsque le cadre est configuré de manière spécifique.

Selon Glen Pendley, vice-directeur technique chez Tenable, la vulnérabilité n'existe pas à cause de configurations mais quand le système est configuré d'une certaine manière, les attaquants peuvent exploiter des vulnérabilités dans Struts.

Comme l'a expliqué Semmle:

Cette nouvelle vulnérabilité d'exécution de code à distance affecte toutes les versions de Apache Struts 2. Une version patchée a été publié aujourd'hui. Les utilisateurs de Struts 2.3 Il est fortement conseillé de passer à 2.3.35; les utilisateurs de Struts 2.5 besoin de passer à 2.5.17. Cette vulnérabilité est situé dans le coeur d'Apache Struts. Toutes les applications qui utilisent Struts sont potentiellement vulnérables, même si aucun plug-ins supplémentaires ont été activés.

L'équipe de recherche en sécurité de Semmle estime que au moins 65% de la Fortune 500 les entreprises utilisent Struts dans certaines de leurs applications web ce qui signifie que le défaut pourrait avoir des répercussions considérables à travers l'Internet.

Ce qui est pire est qu'il se trouve que la partie du cadre CVE-2018-11776 touches est potentiellement beaucoup plus percutants que les vulnérabilités antérieures. Les critères d'évaluation sont beaucoup plus largement utilisés, à Les paroles de Pendley.

histoire connexes: CVE-2017-5638 Patched mais encore Under Attack, Les entreprises à risque

chercheurs Semmle ont coopéré avec la Fondation Apache de divulguer le défaut d'une manière réactive. Un ensemble de mises à jour de logiciel a également été publié, aux côtés de la divulgation publique de la vulnérabilité.

Les organisations et les développeurs qui utilisent Struts sont informés de toute urgence pour mettre à niveau leurs composants Struts immédiatement, Semmle met en garde. informations antérieures d'autres vulnérabilités critiques ont donné lieu à Exploits être publié dans un jour, mettre les infrastructures critiques et des données clients à risque, la société ajoute.

L'année dernière, des millions de citoyens américains avaient leurs numéros de sécurité sociale volés en raison d'une vulnérabilité critique exploitée dans le infâme Equifax Hack. La violation de la sécurité a affecté un des plus importantes sociétés d'évaluation du crédit d'exploitation aux Etats-Unis. En raison de l'intrusion malveillante les pirates derrière l'attaque ont pu obtenir des informations sur plus de 40% de la population de l'ensemble du pays.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord