Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Apache corrige une faille déjà exploitée dans Struts 2

Vite, une DeLorean

Apache corrige une faille déjà exploitée dans Struts 2

Le 09 mars 2017 à 16h38

Une importante faille de sécurité a été découverte dans un composant d’Apache Struts 2. Elle est déjà exploitée et peut permettre une exécution de code à distance. Il est recommandé d’appliquer au plus vite le correctif, disponible dans une mise à jour.

Au moment de sa découverte, la faille était déjà exploitée. Apache a fini par communiquer dessus lundi, confirmant dans sa dangerosité et son caractère critique, puisqu’elle peut être exploitée à distance. Elle a été découverte par les chercheurs en sécurité de Talos, la branche dédiée à ces problèmes chez Cisco.

Elle réside plus particulièrement dans Apache Struts, une infrastructure pour les applications web. Ce framework MVC (Model-View-Controller) permet la création d’applications Java, avec le support des techniques que l’on peut en attendre aujourd’hui, notamment JSON, REST et AJAX. Or, le parseur Jakarta Multipart présente une faiblesse en fonction des données qu’il est amené à traiter.

Si un pirate réussit à lui faire lire des données spécialement conçues et comportant une certaine valeur Content-Type, une exception est générée et peut être utilisée pour afficher un message d’erreur à l’utilisateur. À partir de là, il devient possible pour le pirate de déclencher le téléchargement d’une charge virale, qui peut contenir différentes menaces selon les cas, dont un bot destiné à mettre en place des attaques par déni de service plus tard. Les pirates tentent en outre de s’assurer une persistance dans la machine en plaçant un fichier binaire dans la séquence de démarrage.

Dans la foulée, et puisque la faille était déjà exploitée, les chercheurs ont publié un prototype d’exploitation. En d’autres termes, l’attention portée au problème n’a pu qu’augmenter. Il est donc recommandé aux utilisateurs de mettre à jour le plus rapidement possible Apache Struts vers les versions 2.3.32 or 2.5.10.1, voire de changer d’implémentation du parseur, comme indiqué par Apache.

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Cedrix a écrit :



Non, c’est du vécu… Il y a une réelle différence au niveau de la formation et de la considération professionelle. Rien de péjoratif.





C’est vrai.

Je suis ingé francais travaillant en Belgique, et 34 de vos ingenieurs viennent de Louvain La Neuve et sont au niveau des ivrognes de l’université…



Du coup là ou je bosse, il y a énormément de francais aux postes strategiques, parce qu’a un moment les grosses cletes, ca va bien, et il faut produire et resoudre les soucis…

<img data-src=" />


votre avatar

Les préjugés ne le sont que lorsque ce sont des images que l’on se fait d’une réalité.



Or, quand on y a vécu, ce ne sont pas des préjugés.



En fait, ce qui dérange, c’est que j’aie spécifié que je vivais en Belgique, je ne suis pas “lun de ceux qui peut critiquer, vil étranger”. :-)

votre avatar

On tombe dans le “racisme” et l’insulte maintenant… Bravo :)

votre avatar







Cedrix a écrit :



On tombe dans le “racisme” et l’insulte maintenant… Bravo :)





Et encore, j’ai pas parlé des flamands

<img data-src=" />



Edit : et pour les ivrognes, ce n’est pas une insulte, mais un fait. Suffit de se ballader dans le centre de LLN et de sentir les relents de vomi tous les soirs pour le savoir.


votre avatar

Ok pour les étudiants… je suis pas partisan des baptêmes et autres. De là à réduire tous les ingénieurs/bacheliers en informatique à ceux qui ne finiront jamais leurs études, c’est malvenu.



Toujours est-il que le fond du débat est la considération du métier d’informaticien en France versus celle qui en est faite en Belgique (rémunération, statut, avantages, …). Et toi tu dévies sur “Vous, les belges, vous êtes tous des ivrognes, et on parle même pas des nordistes (sous-entendu ?)”. Niveau hors-sujet, t’es pas mal.

votre avatar

C’est vendredi faut pas chercher.<img data-src=" />



Sinon je suis d’accord pour dire qu’a force de noter les établissements selon leur taux de réussite et a faire croire au “plus il a de diplôme mieux il s’en sortira” on a bien pourri la qualité des diplômes (je sais pas comment ça se passe ailleurs qu’en France alors je parle que de la France).



En 1994 un CM1 se moquait d’un CM2 qui n’avait pas compris son cours de basic.

En 2017 on rigole d’un bac +5 qui ne sait pas coder (le bac +3 lui ça va il est pardonné&nbsp;<img data-src=" /> ).

votre avatar







Cedrix a écrit :



Ok pour les étudiants… je suis pas partisan des baptêmes et autres. De là à réduire tous les ingénieurs/bacheliers en informatique à ceux qui ne finiront jamais leurs études, c’est malvenu.



Toujours est-il que le fond du débat est la considération du métier d’informaticien en France versus celle qui en est faite en Belgique (rémunération, statut, avantages, …). Et toi tu dévies sur “Vous, les belges, vous êtes tous des ivrognes, et on parle même pas des nordistes (sous-entendu ?)”. Niveau hors-sujet, t’es pas mal.





Tu parles de ch’ti ou Picards ? Bouarf, c’est la vérité des ivrognes en puissance <img data-src=" /> (rajoutons a ça les Bretons <img data-src=" />)


votre avatar

Non, les nordistes pour moi = les flamands :)

votre avatar

AAAAAAHHHH. Autant pour moi <img data-src=" />

votre avatar







Cedrix a écrit :



Voir mon autre commentaire. Je ne vais pas faire dans le constructif quand la première réaction c’est “Beau troll”. :)





En même temps tu arrive avec l’approche conversation de comptoir “nous en Belgique on est mieux qu’en france ! Je le sais. Francis deux blancs !”. C’est juste au mieux nul, au pire irrespectueux.



En france y’a des personnes qui sont mieux, égales et moins bien que des Belges à poste égal. Ou alors tu as rencontré 100%, un a un, chaque personne que tu as comparé un à un à tous les autres, pour sortir ta généralité.



Alors oui, c’est du troll.


votre avatar

Absolument pas. Je prends le cas de l’informaticien et de son statut. Il est différent dans nos deux pays.



Toi tu en fais une bonne grosse généralité pour justifier le fait de me traiter de troll. Tu esquives le fond…


votre avatar







davidbidji a écrit :



oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien

Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…

elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau





Quand je maintenais un produit sous Struts 2 on avait des alertes&nbsp; presque tous les deux mois <img data-src=" />&nbsp;


votre avatar

Non, c’est un framework pour faire des applications web en Java (le java est coté serveur, à ne pas confondre avec des applets). Concrètement, ça se présente sous la forme de plusieurs jars (l’équivalent de dll) qui sont embarqués dans l’application (comme un programme sous windows embarque des dlls).



Le seul rapport entre Struts 2 et le serveur apache, c’est qu’ils sont développés par la fondation apache.









davidbidji a écrit :



oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien

Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…

elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau





Effectivement, ce sont des situations bien merdiques. Bon courage.


votre avatar

Ah d’accord merci <img data-src=" />

votre avatar







Arcy a écrit :



+1, y’a que ça de vrai.



<img data-src=" />





Oui !! j’ai l’affiche au bureau. Pour ne jamais oublier, comme nous sommes petits face au grand maître contrôle principal&nbsp;<img data-src=" />


votre avatar

lol ?

votre avatar

Dans mon bureau, c’est plutôt celui-ci qui est affiché <img data-src=" />



http://www.commitstrip.com/en/2013/03/08/ceci-est-un-message-de-prevention/?

votre avatar







sr17 a écrit :



D’ailleurs, qui ne sait pas qu’informaticien, c’est synonyme d’esclave ?





Au pif : les parents qui se saignent pour payer des études au gamin “qui s’y connaît”.



“C’est un métier d’avenir” il a dit le monsieur a la télé!



Bon ça reste un esclavage relatif , rien n’empêche de se reconvertir dans la médecine,la finance ou l’immobilier c’est tellement plus simple a coté…&nbsp;<img data-src=" />


votre avatar

Struts 2… je ne l’ai jamais croisé. Struts 1 oui mais Struts 2 je ne l’ai franchement pas vu des masses.



Après pour s’économiser une bonne partie de la charge de travail une politique devops avec des tests automatisés et des procédures d’installation automatisées peut sauver la vie et réduire le temps de travail à quelques minutes voire une matinée tout au plus.

votre avatar

Syndrome français. En Belgique on n’a pas à se plaindre.



Après, vos jobs sont au niveau de la qualité de vos formations. Un bac+5 en info qui ne sait pas coder, ça m’a toujours fait rire de le voir se faire embaucher comme dev.

votre avatar







Cedrix a écrit :



Syndrome français. En Belgique on n’a pas à se plaindre.



Après, vos jobs sont au niveau de la qualité de vos formations. Un bac+5 en info qui ne sait pas coder, ça m’a toujours fait rire de le voir se faire embaucher comme dev.





Comment un Belge fait-il pour se suicider ?

Il tire une balle 30 cm au dessus- de sa tête, en plein complexe de supériorité.

&nbsp;

C’était trop drôle d’inverser cette blague belge anti-français, je n’ai pas pu résister.


votre avatar







adrenalinedj a écrit :



Dans mon bureau, c’est plutôt celui-ci qui est affiché <img data-src=" />



http://www.commitstrip.com/en/2013/03/08/ceci-est-un-message-de-prevention/?





Il est très bon aussi celui là, et tellement vrai. Que le dev qui n’a jamais galéré un vendredi me jette le premier clavier&nbsp;<img data-src=" />


votre avatar







Cedrix a écrit :



Syndrome français. En Belgique on n’a pas à se plaindre.



Après, vos jobs sont au niveau de la qualité de vos formations. Un bac+5 en info qui ne sait pas coder, ça m’a toujours fait rire de le voir se faire embaucher comme dev.





Ce troll… une fois !&nbsp;<img data-src=" />


votre avatar

Non, c’est du vécu… Il y a une réelle différence au niveau de la formation et de la considération professionelle. Rien de péjoratif.

votre avatar

En adoptant l’attitude de me dire ouvertement que j’ai un complexe de supériorité tout en n’essayant absolument pas de comprendre si effectivement le système d’éducation français n’est pas la source de la faible perception du métier d’informaticien en France, tu tombes finalement dans le cliché de l’hopital qui se moque de la charité.



Je peux t’assurer que le métier d’informaticien est perçu bien différemment dans nos deux pays pour y avoir résidé/travaillé. Quand on voit la qualité des BAC+2 techniciens qui sont embauchés pour faire des activités d’ingénieurie, faut pas s’étonner que le métier soit mal vu.



A plus grande échelle, la France a également une administration très lourde et, jusqu’à peu, un gros retard technologique dans la vision de ses élites. Pas d’e-Administration, pas d’e-Banking très développé, pas d’accès à Internet Haut-Débit pour chacun, une vision de “l’informatique, c’est accessoire”.



Et pour éviter de me reprendre un complexe de supériorité trollesque en réponse: Je n’ai pas dit que la Belgique était parfaite sur tous ces points.

votre avatar







Cedrix a écrit :



Non, c’est du vécu… Il y a une réelle différence au niveau de la formation et de la considération professionelle. Rien de péjoratif.





Mais bien sûr&nbsp;<img data-src=" />


votre avatar

Euh….



Je dis pas que tout est parfait mais beaucoup de démarches administratives se font en ligne…. Y compris renouveler son passeport ou carte d’identité pour moi qui suis à l étranger.

J’ai toujours fait mes démarches bancaires en ligne depuis plus de 10 ans et tout le monde autour de moi également…

J’ai toujours eu du “haut debit” depuis que j’ai 1314 ans sans vivre en centre ville… Après il est plus facile techniquement de mettre en place des infrastructures en Belgique de par la densité de population et probablement les sols qui doivent être relativement tendre…



Bref tu as de gros préjugés sur la France même si y’a beaucoup de choses qui devraient changer.

votre avatar

Voir mon autre commentaire. Je ne vais pas faire dans le constructif quand la première réaction c’est “Beau troll”. :)

votre avatar

Y a encore des gens qui utilisent Struts ? ^^

votre avatar

Les pirates apparemment <img data-src=" />

votre avatar

oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien

Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…

elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau

votre avatar

Si ton travail t’insupporte tant, laisse le à un autre, il sera sûrement content.

votre avatar







davidbidji a écrit :



oui, dans ma boite, c’est le framework utilisé pour notre produit, et ça fonctionne plutôt bien

Par contre, c’est sympa cette charge de travail pas prévue, ça fait plaisir de devoir patcher nos versions de production pour ça…avec tout le cycle modif/validation/packaging/livraison…

elle était déjà bien pourrie cette semaine, c’est la cerise sur le gâteau





On vit qu’une fois, commit en prod direct !&nbsp;<img data-src=" />


votre avatar
votre avatar

Je comprends pas trop c’est un module à part ou c’est installé de base quand on installe Apache ? Quand on récupère les packets sur distrib linux par exemple.

votre avatar







fred42 a écrit :



Si ton travail t’insupporte tant, laisse le à un autre, il sera sûrement content.







D’ailleurs, qui ne sait pas qu’informaticien, c’est synonyme d’esclave ?


Apache corrige une faille déjà exploitée dans Struts 2

Fermer