Java : le Framework Web Apache Struts victime d'une faille de sécurité
Activement exploitée par des hackers chinois

Le , par Cedric Chevalier, Expert éminent sénior
Alors que suite à une faille critique l'Apache Software Foundation a publié un correctif pour les versions vulnérables d'Apache Struts, le framework de développement d'applications web Java pour l'édition entreprise, le constat c'est que cette mise à jour n'est pas très répandue.

Noriaki Hayashi, chercheur en sécurité pour la firme Trend Micro, reporte que des hackers chinois se servent d'un outil spécialisé pour compromettre des applications développées avec les versions vulnérables du framework.

L'outil commercialisé sur le marché noir, permet à ces deniers d'exploiter les vulnérabilités CVE-2013-2251, CVE-2013-1966, CVE-2011-3923, et CVE-2010-1870 qui donnent toutes la possibilité au hacker d'exécuter du code arbitraire dans l'application distante grâce à un webshell.


Le chercheur confirme entre autre que de nombreux sites asiatiques sont victimes des attaques générées par cet outil, traduisant ainsi la forte présence sur la toile d'applications développées avec les versions vulnérables du Framework.

Par ailleurs il recommande vivement aux développeurs d'installer la mise à jour sécurisée du Framework.

Télécharger Apache Struts 2.3.15.1

Source : blog Trend Micro

Et vous ?

Utilisez-vous Apache Struts ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de salve34 salve34 - Membre régulier http://www.developpez.com
le 21/08/2013 à 11:13
Utilisez-vous Apache Struts

Je l'ai utilisé mais sur le net il est si difficile de trouver des serveurs JAVA (à moins de prendre un serveur virtuel ou dédié), que je suis revenu à PHP.

ps: Voilà une info importante mais comme çà touche la sécurité et non "le pire code ou la pire appli que vous avez vu", personne n'est intéressé. Ou alors c'est à cause des vacances
Avatar de ymajoros ymajoros - Membre habitué http://www.developpez.com
le 22/08/2013 à 12:15
Citation Envoyé par salve34  Voir le message
ps: Voilà une info importante mais comme çà touche la sécurité et non "le pire code ou la pire appli que vous avez vu", personne n'est intéressé.

Ou alors c'est parce que c'est Struts, qu'il ne fait pas partie de Java EE et que tout le monde sait qu'il faut s'en débarasser depuis 10 ans
Avatar de salve34 salve34 - Membre régulier http://www.developpez.com
le 22/08/2013 à 13:36
Citation Envoyé par ymajoros  Voir le message
Ou alors c'est parce que c'est Struts, qu'il ne fait pas partie de Java EE et que tout le monde sait qu'il faut s'en débarasser depuis 10 ans



Apache Struts est un framework libre servant au développement d'applications web Java EE.

source "http://fr.wikipedia.org/wiki/Apache_Struts"
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 22/08/2013 à 14:54
Ce n'est pas incompatible.
Il ne fais pas officiellement partie de JavaEE, mais il est utilisé pour la création de beaucoup d'application JavaEE.
Avatar de Philippe Bastiani Philippe Bastiani - Membre éprouvé http://www.developpez.com
le 22/08/2013 à 21:26
Effectivement, Struts n'est pas le framework Web JavaEE... mais, un parmi d'autres !

D'ailleurs, j'aimerais bien connaître sa part de marché actuelle...

Il y a 10ans, en version 1, c'était un des leaders du marché... mais, le passage à la version 2 (incompatible avec la version 1) a été fatal pour la popularité de ce framework: beaucoup, de clients se sont alors tournés vers d'autres solutions !

Pour en revenir à l'article : la publication d'un patch en pleines vacances d'été ne facilite pas son adoption rapide !

a+
Philippe
Avatar de samouemouel samouemouel - Futur Membre du Club http://www.developpez.com
le 23/08/2013 à 12:06
Il est vrai que depuis la sortie de JSF en version 2, Struts 1 à perdu pas mal de sa cote car beaucoup plus complexe à utiliser, mais sa version 2 l'a remis sur les rails. J'aimerais moi aussi bien savoir quelle est sa par de marché actuelle.
Avatar de bouka bouka - Futur Membre du Club http://www.developpez.com
le 24/08/2013 à 4:37
Nous pouvons dire que Struts fait partie des frameworks JEE.
une application JEE est basée sur les concepts : Servlet, JSP et EJB.
Maintenant pour dire qu'un framework ne fait pas partie de la specification JEE il faut vérifier s'il n'implemente pas ces concepts.
Avatar de ymajoros ymajoros - Membre habitué http://www.developpez.com
le 24/08/2013 à 10:37
Struts ne fait pas partie de la stack Java EE. C'est un framework non standardisé parmis d'autres. Personnellement, j'évite : pas de spec, une seule implémentation, des bugs deviennent la règle (c'est comme ça que c'est implémenté), développement par essais-erreurs plutôt que selon des règles... Et surtout : à part pour des raisons historiques, pourquoi choisir un outil techniquement à la ramasse si la stack standard permet de faire beaucoup mieux ?
Avatar de DrHelmut DrHelmut - Membre habitué http://www.developpez.com
le 26/08/2013 à 11:20
Indépendament des failles je trouve fou qu'en 2013 on parle encore de struts2 comme si cela pouvait être un choix cohérent de framework web....

C'est lourd et poussif. Et JSF ne fait pas mieux, à croire que le monde Java ne sait pas faire de web de manière simple, élégante et efficace; pour ma part après GWT j'en suis revenu aujourd'hui aux fondamentaux : frontal web pur html/Jquery, services REST en java pour la partie traitement; et basta.
Avatar de Cedric Chevalier Cedric Chevalier - Expert éminent sénior http://www.developpez.com
le 25/09/2013 à 10:28
Une mise à jour pour Apache Struts est disponible en téléchargement
elle apporte des correctifs de sécurité majeurs

Apache Struts 2.3.15.2 la mise à jour pour le framework open source de création d’applications web en Java est disponible. Celle-ci apporte des correctifs de sécurité majeurs pour des vulnérabilités rencontrées dans la version 2.3.15.1.

A titre de rappel, un récent rapport de sécurité soulignait que les utilisateurs d’Apache Struts avaient tendance à utiliser des versions vulnérables du framework. Struts 2.3.15.1 avait d’ailleurs été recommandé aux utilisateurs afin de les protéger des menaces de sécurité.

Par défaut, la fonctionnalité DMI (Dynamic Method Invocation) est désactivée dans Apache Struts 2.3.15.2. Pour l’équipe de développement, celle-ci constituait une menace de sécurité réelle pour les utilisateurs de la version 2.3.15.1.

On note également que la vulnérabilité de type « Broken Access control » (qui donne la possibilité à un hacker d’avoir accès à certaines ressources alors qu’elles lui sont interdites en temps normal) qui affectait Struts 2.3.15.1 a été aussi corrigée.

Les développeurs tout comme les autres utilisateurs sont vivement appelés à installer cette mise à jour et aussi celles qui la suivront pour éviter toute forme de désagrément.

Télécharger Apache Struts 2.3.15.2

Source : Apache Struts

Et vous ?

Utilisez-vous Apache Struts ?
Offres d'emploi IT
Chef de projet SI confirmé (H/F)
Société Générale - Ile de France - Val-de-Fontenay
Développeur - software craftsman (H/F)
Société Générale - Ile de France - Hauts-de-Seine
Architecte fonctionnel et applicatif (H/F)
Société Générale - Ile de France - Val-de-Marne

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil