La difficulté de corriger les vulnérabilités de désérialisation
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior 在整个软件开发周期中保障代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全负责人、开发人员、信息安全主管,还是其他任何参与安全工作的人员,我们都能协助您的组织降低不安全代码带来的风险。
预约演示
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
