Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf waarschuwt voor aanvallen via kritiek lek in Apache Struts

Door , 11 reacties

Cisco's beveiligingsonderdeel Talos heeft een waarschuwing afgegeven voor een groot aantal aanvallen via een lek in het Apache Struts 2-framework, dat kwaadwillenden op afstand code laat uitvoeren. Het treft gebruikers van de Jakarta Multipart-parser.

apache strutsIn een advisory schrijft het team achter Struts dat gebruikers het beste een update naar versie 2.3.32 of 2.5.10.1 kunnen uitvoeren. De waarschuwing van Talos maakt melding van een groot aantal gedetecteerde 'exploitation events'. Daarbij maken kwaadwillenden gebruik van een publiekelijk beschikbare proof of concept-exploit om kwetsbare servers aan te vallen.

Het lek, met kenmerk CVE-2017-5638, maakt het mogelijk om op afstand code uit te voeren via een bestandsupload met de Jakarta Multipart-parser. Volgens beveiligingsbedrijf Qualys is het op die manier mogelijk om een compleet systeem over te nemen. Talos merkt op dat aanvallen van verschillende niveaus plaatsvinden. Zo zijn er varianten die alleen controleren of een systeem kwetsbaar is en andere varianten die firewalls uitschakelen en vervolgens malware op het systeem binnenhalen.

Door Sander van Voorst

Nieuwsredacteur

09-03-2017 • 10:08

11 Linkedin Google+

Reacties (11)

Wijzig sortering
Iets meer achtergrond over Struts zou handig zijn want ik heb er nog nooit van gehoord.. :?
Dat is niet zo gek. Apache Struts 2-framework is *heel* erg old school. Was eerste echte MVC framework voor Java (server side). Dat er nog bedrijven software op hebben draaien ...
struts 2 oud? je bedoelde vast struts 1 ?!
Ik weet niet wat jij oud vind, maar op de downloadpagina (https://struts.apache.org/downloads.html) staat dat versie 2.0.6 22 februari 2007 uitkwam. Ik vind 10 jaar best oud.
Dat wil overigens niet zeggen dat het niet een prima framework is. Struts (en MVC in het algemeen) dwingen je om goed na te denken over de verantwoordelijkheden van elk stukje code. Het is niet een framework waar je even quick en dirty iets mee inelkaar flanst. Al is het natuurlijk altijd mogelijk om rommel te produceren.

Na Struts werd Spring MVC populair wat out of the box al veel meer kon (Dependency Injection e.d.). Daardoor is Struts 2 nooit echt van de grond gekomen, denk ik. Ook de moeite waard is Apache Wicket, wat een meer component-based is maar toch ook een sterke MVC component heeft (en voor een groot deel door Nederlanders ontwikkeld is!!)

Toen Microsoft in 2007 triomfantelijk aankondigde MVC te hebben uitgevonden was de java wereld al 7 jaar met MVC bezig, en Spring voor .Net al ruim een jaar beschikbaar (nooit echt van de grond gekomen). Je kent MS, die 'vinden' altijd al jarenoude technologie 'uit' :)
maar uhhh de laatste update 2.5.10 is van feb2017.
Da's een beetje hetzelfde als zeggen dat Java oud is omdat de eerste versie in 1994 uitkwam? ;)
Struts-2 heeft toch ook gewoon dependency injection?
Struts-2 heeft toch ondersteuning voor Spring? Dus Struts-2 en Spring leven toch gewoon naast elkaar ?

[Reactie gewijzigd door kabal op 10 maart 2017 11:14]

Het oudste beroep van de wereld wordt nog steeds uitgeoefend, maar dat maakt het nog niet een 'nieuw' beroep ;)

Zoals ik al zei, het is een prima framework, en het wordt actief onderhouden, maar de basis is al best oud. Ik denk dat rkmuller dat bedoelde. Jij hanteert een andere definitie van 'oud' en dat is ook prima.
Probeer struts 1 is zou ik eens zeggen. Ik ken nog een flink aantal oplossingen hiermee die dagelijks door duizenden mensen gebruikt worden. Het upgraden van struts 1 naar iets anders is niet zo eenvoudig en de overstap naar struts 2 is niet erg logisch omdat het niet erg populair is. Rewrite van de code krijg je geen business case voor elkaar dus blijft het struts 1 + pappen en nathouden.
Dat verklaart een hoop. Wel bijzonder dat ze er in het artikel van uit gaan dat iedereen dit soort frameworks kent.
Aan de andere kant,

iedere tweaker hierzo kan het zo 'googlen'. Ikzelf heb ook niet altijd van de nieuwe framework's gehoord die bv in PHP en Javascript land bekend zijn. Zie bv ook nieuws: Microsoft stopt met sociaal netwerk Socl
Ik denk ook niet dat het niet uitgelegd hoeft te worden..

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*