/Apache Struts: Jetzt updaten und kritische Lücke schließen

Apache Struts: Jetzt updaten und kritische Lücke schließen

Alert!

Apache Struts: Jetzt updaten und kritische Lücke schließen

Update


Jürgen Schmidt

Eine soeben veröffentlichte Version von Apache Struts schließt eine kritische Lücke. Die Entwickler und der Entdecker der Sicherheitslücke rechnen damit, dass diese bald für Angriffe auf Firmen missbraucht wird. Also ist jetzt zügiges Handeln angesagt.

Viele Server mit Apache Struts lassen sich offenbar einfach kapern. Denn das Open-Source-Framework für Java-Apps enthält eine kritische Sicherheitslücke, über die Angreifer Code einschleusen und ausführen können. Die Entwickler stellen eine fehlerbereinigte Struts-Version bereit, die Server-Admins jetzt möglichst schnell einspielen sollten. Denn noch gibt es keinen öffentlich verfügbaren Exploit, der die Lücke ausnutzt – aber die Uhr tickt.

Der Fehler mit der Nummer CVE-2017-9805 betrifft die Version Struts 2.5 bis einschließlich 2.5.12; das sind alle Versionen seit 2008. Die soeben bereit gestellte Version 2.5.13 schließt die Lücke. Konkret anfällig sind alle Web-Applikationen, die das populäre REST-Plugin verwenden. Offenbar genügt es, dass ein Angreifer speziell präparierte XML-Daten an die Applikation schickt, um den Fehler auszulösen und Code einzuschleusen. Denn der für die De-Serialisierung zuständige XStreamHandler nimmt offenbar keine Typ-Filterung vor, die das verhindern würde.

Keine Alternative zum Updgrade

Laut dem dem kurzen Advisory der Entwickler gibt es keinen sinnvollen Workaround, der das Upgrade auf die neue Version ersetzen würde. Als einzige Möglichkeit sich zu schützen, sehen sie das Entfernen des REST-Plugins oder den Server auf normale Seiten und JSON zu beschränken. Beides dürfte in vielen Struts-Installationen mit massiven Einschränkungen verbunden sein. Nach eigenen Angaben hat der Entdecker Man Yue Mo die Lücke am 17. Juli bei Struts gemeldet. Mit dem Erscheinen der gefixten Version hat seine Firma Semmle ebenfalls ein kurzes Advisory mit dem dringenden Rat zum Update veröffentlicht. Nähere Details zur Lücke und den zu Demo-Zwecken entwickelten Exploit stellen sie noch nicht öffentlich bereit. Sie rechnen jedoch damit, dass bald ein öffentlicher Exploit auftaucht.

Update 13:10, 6.9.2017: Das ging schnell: Auf Github gibt es bereits ein Metasploit-Modul Add Apache Struts 2 REST Plugin XStream RCE, das die Lücke angeblich ausnutzt. Wir haben es jedoch nicht ausprobiert.


(ju)