Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
Inviato: 09 Mar 2017 16:03 Oggetto: Falla in Apache, hacker all'attacco |
|
|
Leggi l'articolo Falla in Apache, hacker all'attacco
Aumentano vertiginosamente gli attacchi verso i server web, per sfruttare la vulnerabilità prima che arrivi la patch.
Segnala un refuso
|
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 09 Mar 2017 17:49 Oggetto: |
|
|
Sa tanto di click bait... la vulnerabilità non è in Apache (che comunemente definisce il server http), ma in un framework Java (Apache Struts) usato in ambito enterprise per lo più.
Il problema è che spesso tali sistemi, per una serie di motivi, non sono patchabili rapidamente... da quello che so non dovrebbe essere comunissimo al giorno d'oggi, però è comunque una pessima notizia... |
|
Top |
|
|
ilcoro Eroe
Registrato: 30/10/06 17:52 Messaggi: 43
|
Inviato: 10 Mar 2017 18:16 Oggetto: |
|
|
Citazione: | Sa tanto di click bait |
condivido. |
|
Top |
|
|
Gladiator Dio maturo
Registrato: 05/12/10 20:32 Messaggi: 12817 Residenza: Purtroppo o per fortuna Italia
|
Inviato: 12 Mar 2017 19:29 Oggetto: |
|
|
Citazione: | Le versioni vulnerabili di Apache Struts vanno dalla 2.3.5 alla 2.3.31 e ancora dalla 2.5 alla 2.5.10: per essere certi che il proprio server sia protetto è quindi necessario che sia installata la versione 2.3.32 oppure la 2.5.10.1. |
Direi che quanto riportato da ZN nel prorpio articolo - vedi estratto sopra - sia stato preso dal blog di Trend Micro:
Citazione: | Apache Struts versions Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10 are reported to be affected. |
o dal sito cwiki di apache al quale anche Trend Micro rimanda mentre nel CVE database è riportato che tutte le versioni precedenti alla 2.3.32 e alla 2.5.10.1 sono vulnerabili:
Citazione: | Description
The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 mishandles file upload, which allows remote attackers to execute arbitrary commands via a #cmd= string in a crafted Content-Type HTTP header, as exploited in the wild in March 2017. |
Ritengo comunque che l'informazione relativa alle versioni di Apache Struts 2.3.x affette dalla vulnerabilità sia poco probabile poiché non mi risulta che la versione 2.3.5 sia mai esistita fino ad oggi vedasi link.
In ogni caso è corretto il suggerimento di aggiornare alle versioni 2.3.32 e 2.5.10.1. |
|
Top |
|
|
|