Avis ID onespan-sa-20180828-struts
Numéro de révision 1.1
Date de sortie 28 août 2018 05:00 UTC1
Dernière mise à jour 31 août 2018 09:30 UTC
Résumé
Le 22 août 2018, le projet Apache Struts a publié un bulletin de sécurité sur une vulnérabilité d'exécution de code à distance qui existe dans Apache Struts 2. Cette vulnérabilité est appelée CVE-2018-11776. La vulnérabilité pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire sur un système ciblé.
Cet avis de sécurité contient des informations sur les produits OneSpan qui ont été affectés par la vulnérabilité et contient des informations sur la disponibilité des hotfixes.
Produits touchés
Les produits OneSpan suivants sont affectés par la vulnérabilité CVE-2018-11776 :
- Serveur d'authentification 3.8 et plus tard
- Appareil 3.8.9.0 et plus tard
Produits touchés
- Appareil IDENTIKEY
- Serveur d'authentification IDENTIKEY
- Appareil virtuel IDENTIKEY
Description
La vulnérabilité existe dans Apache Struts parce que le logiciel affecté valide insuffisamment l'entrée fournie par l'utilisateur, permettant l'utilisation de résultats sans valeur d'espace de nom et l'utilisation d'étiquettes url sans valeur ou action. Dans les cas où les actions ou configurations supérieures n'ont pas non plus d'espace de nom ou d'espace de nom wildcard, un attaquant peut exploiter cette vulnérabilité en envoyant une demande qui soumet des entrées malveillantes à l'application affectée pour traitement. En cas de succès, l'attaquant peut exécuter du code arbitraire dans le contexte de sécurité de l'application affectée sur le système ciblé.
Pour exploiter cette vulnérabilité, un attaquant doit envoyer une demande qui soumet des entrées malveillantes au système ciblé, ce qui rend l'exploitation plus difficile dans les environnements qui limitent l'accès au réseau à partir de sources non fiables.
Dans la portée du serveur d'authentification, de l'appareil et de l'appareil virtuel de OneSpan, la vulnérabilité est présente dans le composant d'administration Web. La vulnérabilité ne peut être exploitée par un utilisateur malveillant que si cet utilisateur a accès aux ressources Web du composant d'administration Web, telles que la page de connexion du composant d'administration Web.
Score de gravité
Le tableau ci-dessous indique le score de vulnérabilité CVSS 2.0 de la vulnérabilité CVE-2018-11776 dans les produits OneSpan.
Score de base CVSS: 6.8 (moyen) | |||||
Accès Vector | Complexité d'accès |
Authentification |
Impact sur la confidentialité | Impact sur l'intégrité | Impact sur la disponibilité |
réseau | Médium | Aucun | qui aime bien | qui aime bien | qui aime bien |
Corrections de produits
OneSpan publie des hotfixes pour les produits suivants :
- Serveur d'authentification 3.8.2, 3.9.1, 3.10.1 R2, 3.11.1 R2, 3.12.2 R3, 3.13.1 R2, 3.14.1 R2, 3.15, 3.16
- Appliance 3.8.9.0, 3.8.9.1, 3.9.10.1, 3.9.10.0, 3.10.11.0, 3.11.12.1, 3.11.12.0, 3.12.13.0, 3.12.13.1, 3.13.1, 3.13.14.0, 3.14.1
OneSpan publie des correctifs pour les produits suivants : Appliance 3.16.
Les hotfixes pour authentication Server devraient être disponibles d'ici la fin de la semaine du 27 août 2018. Les hotfixes et les patchs pour l'appareil devraient être disponibles d'ici la fin de la semaine du 3 septembre 2018.
Afin de limiter l'exploitation de la vulnérabilité, les clients doivent limiter autant que possible l'accès au composant d'administration Web.
Emplacement
Les clients ayant un contrat de maintenance peuvent obtenir des versions de produits fixes du portail client. Les clients sans contrat de maintenance doivent contacter leur représentant commercial local.
référence
[1] https://cwiki.apache.org/confluence/display/WW/S2-057
[2] https://nvd.nist.gov/vuln/detail/CVE-2018-11776
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES INFORMATIONS EXACTES, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. ONESPAN SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2018 OneSpan North America, Inc. Tous droits réservés.
?? Vulnérabilité d'exécution de code à distance dans le composant Apache Struts 2 dans Le produit OneSpans