Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Detalle de aviso de seguridad para usuarios técnicos

Actualización de seguridad de Apache Struts

Importancia: 5 - Crítica

Fecha de publicación: 09/01/2012

Recursos afectados

  • Apache Struts desde la versión 2.1.0 hasta la 2.3.1.

Descripción

La versión 2.3.1.1 soluciona 4 vulnerabilidades que permiten la ejecución de código Java arbitrario.

Solución

Instalar la nueva versión. Como medida paliativa se puede configurar el filtro "acceptedParamNames" de ParameterInterceptor y CookieInterceptor de modo más restrictivo:

acceptedParamNames = "[a-zA-Z0-9\.][()_']+";

Detalle

La nueva versión, la 2.3.1.1, del framework de desarrollo Java de aplicaciones web soluciona 4 vulnerabilidades que permiten evitar las medidas de seguridad xwork.MethodAccessor.denyMethodExecution, allowStaticMethodAccess o el filtro allowStaticMethodAccess y ejecutar código arbitrario mediante DMI.

Las vulnerabilidades se encuentran en los siguientes componentes:

  • ExceptionDelegator: ejecución de comandos remotos.
  • CookieInterceptor: ejecución de comandos remotos.
  • ParameterInterceptor: sobreescritura de archivos.
  • DebuggingInterceptor: ejecución de comandos remotos.

Impacto:

  • Ejecución de código Java malicioso.
  • sobreescritura de archivos.

Referencias

Temas