ГлавнаяБаза уязвимостей БДУ → BDU:2015-00402
7.5высокая

BDU:2015-00402 (CVE-2014-0112)

Уязвимость реализации метода getClass программной платформы Apache Struts, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2016-07-06
Описание

Уязвимость реализации метода getClass программной платформы Apache Struts связана с недостатками разграничения доступа при использовании класса ParametersInterceptor с параметром class. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданного запроса

Затрагиваемое ПО и версии
Struts (от 2.0.0 до 2.3.16.2)WebCenter Sites (11.1.1.8.0)Red Hat JBoss Fuse (7)IBM Sterling Order Management (8.5)IBM Sterling Selling and Fulfillment Foundation (9.0)IBM Sterling Selling and Fulfillment Foundation (9.1.0)IBM Sterling Selling and Fulfillment Foundation (9.2.0)IBM Sterling Selling and Fulfillment Foundation (9.2.1)IBM Sterling Selling and Fulfillment Foundation (9.3.0)IBM Sterling Field Sales (9.0)IBM Sterling Field Sales (9.1.0)IBM Sterling Field Sales (9.2.0)IBM Sterling Field Sales (9.2.1)IBM Sterling Field Sales (9.3.0)IBM Sterling Web Channel (9.0)IBM Sterling Web Channel (9.1)VMware Aria Operations (от 5.8.0 до 5.8.2)VMware Aria Operations (от 5.7.0 до 5.7.3)VMware Aria Automation Orchestrator (до 5.5.2)WebCenter Sites (11.1.1.6.1)MySQL Enterprise Monitor (до 2.3.16 включительно)MySQL Enterprise Monitor (от 3.0.0 до 3.0.10 включительно)
Способ устранения

Использование рекомндаций:
Для Apache Struts:
https://cwiki.apache.org/confluence/display/WW/S2-021

Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2014-0112

Для продуктов IBM Corp.:
http://www-01.ibm.com/support/docview.wss?uid=swg21676706

Для продуктов VMware:
https://www.vmware.com/security/advisories/VMSA-2014-0007.html

Для продуктов Oracle:
https://www.oracle.com/security-alerts/cpuapr2015.html

Организационные меры:
Следует исключить параметр "class", заменив его на '(.*\.|^|.*|\[('|"))class(\.|('|")]|\[).*' в списке excludeParams как показано ниже:

<interceptor-ref name="params">
<param name="excludeParams">(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>
</interceptor-ref>

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2014-0112http://www-01.ibm.com/support/docview.wss?uid=swg21676706https://www.vmware.com/security/advisories/VMSA-2014-0007.htmlhttps://www.oracle.com/security-alerts/cpuapr2015.htmlhttp://jvn.jp/en/jp/JVN19294237/index.htmlhttp://jvndb.jvn.jp/jvndb/JVNDB-2014-000045http://packetstormsecurity.com/files/127215/VMware-Security-Advisory-2014-0007.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2014-0112
Проверьте безопасность своего сайта и почты → Полная проверка домена