Vulnérabilité dans Apache Struts

Gestion du document

Référence	CERTFR-2014-ALE-004-001
Titre	Vulnérabilité dans Apache Struts
Date de la première version	25 avril 2014
Date de la dernière version	29 avril 2014
Source(s)	Bulletin de sécurité Apache Struts du 24 avril 2014 Bulletin de sécurité S2-021 Apache Struts du 24 avril 2014
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

exécution de code arbitraire à distance

Systèmes affecté(s)

Apache Struts versions 2.3.16.1 et antérieures

Résumé

Une vulnérabilité a été corrigée dans Apache Struts. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Description

Cette vulnérabilité est issue d'une méthode de contournement de la solution proposée par Apache Struts afin de remédier à la vulnérabilité CVE-2014-0094 décrite dans l'annonce de sécurité S2-020 du 07 mars 2014 (cf. section Documentation).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Apache Struts du 24 avril 2014
```
http://struts.apache.org/announce.html
```

Bulletin de sécurité Apache S2-021 du 24 avril 2014

http://struts.apache.org/release/2.3.x/docs/s2-021.html

Bulletin de sécurité Apache S2-020 du 07 mars 2014

http://struts.apache.org/release/2.3.x/docs/s2-020.html

Avis du CERT-FR

http://cert.ssi.gouv.fr/site/CERTFR-2014-AVI-111/

Référence CVE CVE-2014-0094

https://www.cve.org/CVERecord?id=CVE-2014-0094

Gestion détaillée du document

le 25 avril 2014: version initiale ;

le 29 avril 2014: fermeture de l'alerte, suite à la diffusion du correctif par l'éditeur.

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Apache Struts