Apache Struts : le framework victime de failles rendant vulnérables les applications serveurs crééesqui deviennent des cibles pour les hackers chinois
Alors que suite à une faille critique l'Apache Software Foundation a publié un correctif pour les versions vulnérables d'Apache Struts, le framework de développement d'applications web Java pour l'édition entreprise, le constat c'est que cette mise à jour n'est pas très répandue.
Noriaki Hayashi, chercheur en sécurité pour la firme Trend Micro, reporte que des hackers chinois se servent d'un outil spécialisé pour compromettre des applications développées avec les versions vulnérables du framework.
L'outil commercialisé sur le marché noir, permet à ces deniers d'exploiter les vulnérabilités CVE-2013-2251, CVE-2013-1966, CVE-2011-3923, et CVE-2010-1870 qui donnent toutes la possibilité au hacker d'exécuter du code arbitraire dans l'application distante grâce à un webshell.
Le chercheur confirme entre autre que de nombreux sites asiatiques sont victimes des attaques générées par cet outil, traduisant ainsi la forte présence sur la toile d'applications développées avec les versions vulnérables du Framework.
Par ailleurs il recommande vivement aux développeurs d'installer la mise à jour sécurisée du Framework.
Télécharger Apache Struts 2.3.15.1Source : blog Trend Micro
Et vous ?
Utilisez-vous Apache Struts ?
Vous avez lu gratuitement 5 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par salve34
(mais je peux très bien me tromper).
Pour moi un code source d'une page HTML ne doit pas permettre aux utilisateurs de connaitre le type d'architecture au niveau du serveur. Mais là on sent le struts à plein nez. Comment ne pas se faire pirater ? 
