Kritisk sikkerhedshul i populær webserver-komponent

6. september 2017 kl. 14:246
Webservere med Apache Struts kan udføre vilkårlig kode.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En kritisk sårbarhed i Apache Struts gør det muligt at overtage en webserver, der benytter softwaren. Struts er open source-middleware i Java, som implementerer det klassiske model-view-controller programmeringsmønster for webapplikationer.

Ifølge sikkerhedsforsker Man Yue Mo fra firmaet Lgtm Security, som opdagede hullet, benyttes softwaren af et stort antal virksomheder i mange brancher. Sårbarheden udgør en stor risiko, da Struts ofte anvendes i webapplikationer rettet imod det offentlige internet. Det benyttes for eksempel i mange flybooking- og internetbank-systemer.

»Derudover er det utrolig nemt for en angriber at udnytte denne svaghed; alt, du har brug for, er en webbrowser,« udtaler han ifølge et blogindlæg på virksomhedens hjemmeside.

Organisationer, der benytter Struts, opfordres til at opgradere komponenterne hurtigst muligt.

Artiklen fortsætter efter annoncen

Alle versioner af Struts udgivet siden 2008 indeholder sårbarheden. Hullet er lukket i den seneste udgave, version 2.5.13.

Afvikler vilkårlig kode

Sårbarheden gør det muligt for en angriber at afvikle vilkårlig kode på en hvilken som helst server, som er vært for en applikation, der benytter Struts og dets populære REST-komponent. Svagheden skyldes den måde, hvorpå Struts deserialiserer data, som softwaren ikke bør stole på.

Deserialisering er processen, hvor et objekt laves om til en strøm af bytes, som kan sendes over nettet og gemmes på disk for senere at blive indlæst igen. Det er en almindelig kendt type fejl i Java-verdenen. Der er endnu ikke tegn på, at hullet er udnyttet, men Lgtm vurderer, at det snart vil være tilfældet.

Analysefirmaet Redmonk vurderer, at mindst 65 procent af de såkaldte Fortune 100-selskaber, som er en liste over de største amerikanske virksomheder opgjort af magasinet Fortune, er berørt af sårbarheden. Det omfatter blandt andet Lockheed Martin, det amerikanske skattevæsen, Citigroup, Vodafone og Virgin Atlantic samt mange andre virksomheder.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
7. september 2017 kl. 11:59

Okay, men meget lav 'styrke'? (Jeg er hverken Dansker eller statistiker :) )

3
7. september 2017 kl. 11:32

Samtidighed != (en gang) korrelation

2
7. september 2017 kl. 10:29

Korrelation != kausalitet.

1
7. september 2017 kl. 06:40

Er det denne IT fejl der har ramt Danske Bank og Mobile Pay ?