Kritisk sårbarhet i Apache Struts Jakarta Multipart Parser

Publisert: 15.03.2017

Denne sårbarheten kan føre til at en uautorisert angriper får mulighet til å kjøre vilkårlig kode på systemet.

Det er en kritisk sårbarhet i Apache Struts Jakarta Multipart Parser[1]. Denne sårbarheten kan føre til at en uautorisert angriper får mulighet til å kjøre vilkårlig kode på systemet. Dersom en bruker Jakarta basert fileopplastning anbefales det at en oppgraderer til Apache Struts versjon 2.3.32 eller 2.5.10.1[5].

Sårbare versjoner:

  • Struts 2.3.5 - Struts 2.3.31
  • Struts 2.5 - Struts 2.5.10

Sårbarheten ligger i måten Jakarta Multipart Parser håndterer innholdet i Content-Type headeren. En angriper kan bruke onsinnedet OGNL(Object Graph Navigation Language) i Content-Type headeren for å trigge sårbarheten og kjøre system kommandoer.

Det er allerede ute en metasploit modul for å utnytte denne sårbarheten[2].

NorCERT anbefaler at alle med sårbare versjoner av Apache Struts oppdaterer til nyeste versjoner hvor disse sårbarhetene skal være rettet.

  1. https://struts.apache.org
  2. https://github.com/rapid7/metasploit-framework/issues/8064
  3. https://commons.apache.org/proper/commons-ognl/
  4. http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html
  5. https://cwiki.apache.org/confluence/display/WW/S2-045
  6. https://threatprotect.qualys.com/2017/03/08/apache-struts-jakarta-multipart-parser-remote-code-execution-vulnerability/?_ga=1.174695586.1869652878.1489020308
  7. https://arstechnica.com/security/2017/03/critical-vulnerability-under-massive-attack-imperils-high-impact-sites/