新しい脆弱性が発見されました–Equifax違反を引き起こしたものよりも悪い結果になる可能性があります. 脆弱性はCVE-2018-11776として識別されています, ApacheStrutのコア機能に常駐. これは、サポートされているすべてのバージョンのApacheStrutsに影響を与えるリモートコード実行の脆弱性です。 2.
昨年のEquifax違反には、ApacheStrutsのセキュリティ上の欠陥も含まれていました, したがって、さらに危険な抜け穴の発見は非常に憂慮すべきことです. 新しい脆弱性, CVE-2018-11776, オープンソースのWebフレームワークにあります, セキュリティの専門家によると、それは私たちが目撃した被害を超える可能性があります 2017.
CVE-2018-11776技術概要
この最新のStrutsの脆弱性は 発見した Semmle研究チームの一員である研究者ManYueMoによる. CVE-2018-11776はStrutsのコア機能に存在します, また、フレームワークが特定の方法で構成されている場合、リモートでコードが実行される可能性があります.
グレンペンドリーによると, Tenableの副CTO, 構成が原因で脆弱性は存在しませんが、 システムは特定の方法で構成されています, 攻撃者はStrutsの脆弱性を悪用する可能性があります.
Semmleが説明したように:
この新しいリモートコード実行の脆弱性は、サポートされているすべてのバージョンのApacheStrutsに影響を及ぼします 2. パッチが適用されたバージョンが本日リリースされました. Strutsのユーザー 2.3 にアップグレードすることを強くお勧めします 2.3.35; Strutsのユーザー 2.5 にアップグレードする必要があります 2.5.17. この脆弱性はApacheStrutsのコアにあります. Strutsを使用するすべてのアプリケーションは潜在的に脆弱です, 追加のプラグインが有効になっていない場合でも.
Semmleのセキュリティ研究チームは次のように推定しました 少なくとも 65% フォーチュンの 500 企業は一部のWebアプリケーションでStrutsを使用しています これは、この欠陥がインターネット全体に幅広い影響を与える可能性があることを意味します.
さらに悪いことに、CVE-2018-11776が接触するフレームワークの一部は、以前の脆弱性よりもはるかに影響力が大きい可能性があります。. エンドポイントははるかに広く使用されています, の ペンドリーの言葉.
Semmleの研究者は、Apache Foundationと協力して、欠陥を迅速に開示しました。. 一連の ソフトウェアの更新 もリリースされました, 脆弱性の公開と一緒に.
Strutsを使用する組織および開発者は、Strutsコンポーネントをすぐにアップグレードすることを緊急にお勧めします。, Semmleは警告します. その他の重大な脆弱性に関する以前の開示により、 1日以内に公開されるエクスプロイト, 重要なインフラストラクチャと顧客データを危険にさらす, 会社は追加します.
去年, で悪用された重大な脆弱性のために、何百万人ものアメリカ市民が社会保障番号を盗まれました 悪名高いEquifaxハック. セキュリティ違反は、米国で事業を行っている最大の信用調査会社の1つに影響を及ぼしました. 悪意のある侵入の結果、攻撃の背後にいるハッカーは、 40% 全国の人口の.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: