Apache Struts 2 ist löchrig (remember Equifax?)

23. August 2018, 12:01
  • rechenzentrum
  • lücke
  • cyberangriff
image

Apache Struts, 2017 im Fokus des "legendären" Equifax-Hacks, steht jetzt wiederum im Zentrum des Interesses.

Apache Struts, 2017 im Fokus des "legendären" Equifax-Hacks, steht jetzt wiederum im Zentrum des Interesses. Eine neu publizierte Lücke – CVE-2018-11776 – ermöglicht es, Code remote auszuführen. Betroffen sind die Versionen Struts 2.3 bis Struts 2.3.34 und Struts 2.5 bis Struts 2.5.16, dem beliebten Open-Source-Framework für Java-Webanwendungen.
Der Sicherheitsforscher Man Yue Mo von Semmle, der die Lücke entdeckt hat, bezeichnet sie als kritisch und führt hier aus, warum. Auch die Apache Software Foundation rät "dringend" zum Patchen. Allerdings sei es nur ein Workaround und ein schwacher dazu. Noch besser sei es, gleich auf die Versionen 2.3.35 oder 2.5.17 aufzurüsten.
Indirekt stimmt die Stiftung der Semmle-Einschätzung zu, dass die neue Lücke gefährlicher ist, als "die Equifax-Lücke."
Weil die US-Kreditfirma nicht gepatcht hatte, mussten damals 150 Millionen Bürger lernen, dass Hacker sensible Daten erbeuten konnten. Und die Firma selbst verlor, neben dem CISO, dem CEO und dem Kundenvertrauen, 600 Millionen Dollar.
In dem Sinne: Handeln, ASAP! (mag)

Loading

Mehr zum Thema

image

Nach Angriffswelle: Skript der CISA soll ESXi-Opfern helfen

Die US-Security-Behörde hat ein Skript veröffentlicht, um ESXi-Server wiederherzustellen.

publiziert am 8.2.2023
image

Alphv hackt Schweizer Finanzdienstleister Finaport

Die Cyberkriminellen konnten nach eigenen Angaben eine grössere Menge an Daten des Vermögensverwalters erbeuten. Die gestohlenen Informationen sind im Darkweb einsehbar.

publiziert am 8.2.2023
image

Polizei schiesst Kryptomessenger Exclu ab

Die App soll ein grosser Favorit von Kriminellen und Drogenschmugglern gewesen sein. Nun haben die Behörden die Dienste abgeschaltet, auch dank Hinweisen aus dem "Cyberbunker".

publiziert am 7.2.2023
image

Uni Zürich blockiert ausländische Website-Zugriffe

Aus dem Ausland kann nicht mehr auf die Website und Mailboxen der Universität Zürich zugegriffen werden.

publiziert am 7.2.2023