Une faille dans Apache Struts

5/5 - (1 vote)

Une faille dans Apache Struts.

Une faille dans Apache Struts touche plus de 29 millions de serveurs.

Il y a quelques heures, une alerte concernant les administrateurs de serveurs Apache confirmait une vulnérabilité dans Apache Struts. Pour faire rapide, Apache Struts est un outil libre servant au développement d’applications web en Java EE [formulaire, …]. La faille a été notifiée sous l’appellation CVE-2017-5638. En utilisant un simple dork Google, série de commandes permettant de faire ressortir des résultats ciblés, j’ai pu constater 29 282 900 possibilités, dont plus de 250 .fr, de malveillances via le code [Python] du PoC de la CVE en question. [Lire la suite sur zataz.com]

Apache corrige une faille déjà exploitée dans Struts 2

Une importante faille de sécurité a été découverte dans un composant d’Apache Struts 2. Elle est déjà exploitée et peut permettre une exécution de code à distance. Il est recommandé d’appliquer au plus vite le correctif, disponible dans une mise à jour.

Au moment de sa découverte, la faille était déjà exploitée. Apache a fini par communiquer dessus lundi, confirmant dans sa dangerosité et son caractère critique, puisqu’elle peut être exploitée à distance. Elle a été découverte par les chercheurs en sécurité de Talos, la branche dédiée à ces problèmes chez Cisco. […] [Lire la suite sur Next Impact]
Apache Struts est un framework libre servant au développement d'applications web Java EE. Il utilise et étend l'API Servlet Java afin d'encourager les développeurs à adopter l'architecture Modèle-Vue-Contrôleur (MVC). Cette infrastructure permet la conception et l'implémentation d'applications Web de taille importante par différents groupes de personnes. En d'autres termes, les designers, développeurs de composants logiciels peuvent gérer leur propre part du projet de manière découplée.
Cisco Systems est une entreprise informatique américaine spécialisée, à l’origine, dans le matériel réseau (routeurs et commutateurs ethernet ), et depuis 2009 dans les serveurs. En 2013, Cisco annonce l'acquisition d'une société de cybersécurité, Sourcefire. Deux ans plus tard, Cisco acquiert OpenDNS pour renforcer ses activités dans la sécurité informatique.  

Laisser un commentaire

Retour haut de page