L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de Apache Struts : exécution de code via Jakarta Multipart CD/CL

Synthèse de la vulnérabilité 

Un attaquant peut employer un entête Content-Disposition/Content-Length malveillant sur Apache Struts avec Jakarta Multipart installé, afin d'exécuter du code.
Systèmes vulnérables : Struts, Cisco CUCM, Cisco Unified CCX, Avamar, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle OIT, Tuxedo, WebLogic, Percona Server.
Gravité de cette menace : 4/4.
Date de création : 20/03/2017.
Références de cette faille : 498123, CERTFR-2017-ALE-004, cisco-sa-20170310-struts2, cpuapr2017, cpujul2017, CVE-2017-5638, ESA-2017-042, S2-045, S2-046, VIGILANCE-VUL-22190.

Description de la vulnérabilité 

Le produit Apache Struts peut être configuré pour utiliser l'analyseur Multipart de Jakarta.

L'entête HTTP Content-Type peut contenir le type MIME multipart/form-data pour représenter les données de formulaires. Dans ce cas, l'analyseur Multipart de Jakarta est appelé.

Lorsque l'analyseur Multipart de Jakarta est utilisé, et lorsque l'entête Content-Disposition ou Content-Length contient une valeur malformée, une exception se produit, et le contenu de l'entête est interprété lors de l'affichage.

Un attaquant peut donc employer un entête Content-Disposition/Content-Length malveillant sur Apache Struts avec Jakarta Multipart installé, afin d'exécuter du code.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce de vulnérabilité informatique concerne les logiciels ou systèmes comme Struts, Cisco CUCM, Cisco Unified CCX, Avamar, MariaDB ~ précis, MySQL Community, MySQL Enterprise, Oracle Communications, Oracle Fusion Middleware, Oracle GlassFish Server, Oracle Identity Management, Oracle OIT, Tuxedo, WebLogic, Percona Server.

Notre équipe Vigil@nce a déterminé que la gravité de ce bulletin de vulnérabilité est critique.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité informatique.

Solutions pour cette menace 

Apache Struts : version 2.5.10.1.
La version 2.5.10.1 est corrigée :
  http://struts.apache.org/
  http://struts.apache.org/docs/version-notes-25101.html

Apache Struts : version 2.3.32.
La version 2.3.32 est corrigée :
  http://struts.apache.org/
  http://struts.apache.org/docs/version-notes-2332.html

Apache Struts : contre-mesure pour Jakarta Multipart.
Une contre-mesure est indiquée dans la source d'information.

Cisco : solution pour Apache Struts.
La solution est indiquée dans les sources d'information.

EMC Avamar : solution pour Apache Struts2.
La solution est indiquée dans les sources d'information.

MySQL : version 5.5.55.
La version 5.5.55 est corrigée.

MySQL : version 5.6.36.
La version 5.6.36 est corrigée.

MySQL : version 5.7.18.
La version 5.7.18 est corrigée.

Oracle Communications : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2247453.1
  https://support.oracle.com/rs?type=doc&id=2248470.1
  https://support.oracle.com/rs?type=doc&id=2251718.1
  https://support.oracle.com/rs?type=doc&id=2245233.1
  https://support.oracle.com/rs?type=doc&id=2248526.1
  https://support.oracle.com/rs?type=doc&id=2250567.1

Oracle Fusion Middleware : CPU de avril 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2228898.1

Oracle Fusion Middleware : CPU de juillet 2017.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2261562.1
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une annonce de vulnérabilité de logiciel. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.