CVE-2017-5638 Apache Struts Vulnérabilité dans les produits OneSpan
Avis ID vasco-sa-20170313-struts
Numéro de révision 1.2
Date de sortie 14 mars 2017 08:00 UTC
Dernière mise à jour 17 mars 2017 12:00 UTC
Résumé
Le lundi 06 mars 2017, le projet Apache Struts 2 a publié un bulletin de sécurité sur une vulnérabilité d'exécution de code à distance qui existe dans Apache Struts 2.
Cet avis de sécurité contient des informations sur les produits qui ont été affectés par la vulnérabilité et contient des informations sur la disponibilité des correctifs.
Produits touchés
Les produits suivants sont affectés par la vulnérabilité CVE-2017-5638 :
- IDENTIKEY Authentication Server 3.5 et plus tard
- IDENTIKEY Appliance 3.5.7.1 et plus tard.
Produits touchés
- Appareil IDENTIKEY
- Serveur d'authentification IDENTIKEY
- Appareil virtuel IDENTIKEY
Description
La description de vulnérabilité suivante est extraite de la base de données nationale sur la vulnérabilité du NIST :
"L'analyseur multipartite Jakarta dans Apache Struts 2 2.3.x avant 2.3.32 et 2.5.x avant 2.5.10.1 mishandles file upload, qui permet aux attaquants distants d'exécuter des commandes arbitraires via une chaîne #cmd dans un en-tête produit Content-Type HTTP, tel qu'exploité dans la nature en Mars 2017."
Dans la portée du serveur d'authentation IDENTIKEY et de l'appareil IDENTIKEY, la vulnérabilité est présente dans le composant d'administration web. La vulnérabilité ne peut être exploitée par un utilisateur malveillant que si cet utilisateur a accès aux ressources Web du composant d'administration Web, comme par exemple la page de connexion du composant d'administration Web.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 de la vulnérabilité CVE-2017-5638 sur les produits OneSpan.
| Score de base CVSS: 6.8 (moyen) | |||||
| Accès Vector | Complexité d'accès | Authentification | Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
| réseau | Médium | Aucun | qui aime bien |
qui aime bien |
qui aime bien |
Corrections de produits
OneSpan a publié des correctifs pour les produits suivants:
- IDENTIKEY Authentication Server 3.11 / IDENTIKEY Authentication Server 3.11 R2
- IDENTIKEY Authentication Server 3.10 / IDENTIKEY Authentication Server 3.10 R2
- Serveur d'authentification IDENTIKEY 3.9
- Serveur d'authentification IDENTIKEY 3.8
- IDENTIKEY Appareil 3.10.11.x
- IDENTIKEY Appareil 3.11.12.x
Afin de limiter l'exploitation de la vulnérabilité, les clients doivent limiter autant que possible l'accès au composant d'administration Web IDENTIKEY.
Emplacement
Les clients ayant un contrat de maintenance peuvent obtenir des versions de produits fixes du portail client. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
https://cwiki.apache.org/confluence/display/WW/S2-045
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5638
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2017 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.