Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2019 - AVI - 403

AVIS CERT

CERT-FR

Publié le 21 août 2019 à 08h39

Objet : Multiples vulnérabilités dans Apache Struts

Référence : CERTFR-2019-AVI-403

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Apache Struts versions antérieures à 2.3.35
- Apache Struts versions antérieures à 2.5.17

Résumé

De multiples vulnérabilités ont été découvertes dans Apache Struts. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Apache s2-058 du 12 août 2019

https://cwiki.apache.org/confluence/display/WW/s2-058

- Référence CVE CVE-2008-6504

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-6504

- Référence CVE CVE-2008-6505

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-6505

- Référence CVE CVE-2012-0391

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0391

- Référence CVE CVE-2012-0394

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0394

- Référence CVE CVE-2013-1965

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1965

- Référence CVE CVE-2013-1966

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1966

- Référence CVE CVE-2014-0094

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094

- Référence CVE CVE-2014-0112

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112

- Référence CVE CVE-2014-0113

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0113

- Référence CVE CVE-2014-0116

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0116

- Référence CVE CVE-2016-4465

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4465

- Référence CVE CVE-2016-6795

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6795

- Référence CVE CVE-2016-8738

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8738

- Référence CVE CVE-2017-9791

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9791

- Référence CVE CVE-2017-9793

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9793

- Référence CVE CVE-2017-12611

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12611

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-403/