Alors que suite à une faille critique l'Apache Software Foundation a publié un correctif pour les versions vulnérables d'Apache Struts, le framework de développement d'applications web Java pour l'édition entreprise, le constat c'est que cette mise à jour n'est pas très répandue.
Noriaki Hayashi, chercheur en sécurité pour la firme Trend Micro, reporte que des hackers chinois se servent d'un outil spécialisé pour compromettre des applications développées avec les versions vulnérables du framework.
L'outil commercialisé sur le marché noir, permet à ces deniers d'exploiter les vulnérabilités CVE-2013-2251, CVE-2013-1966, CVE-2011-3923, et CVE-2010-1870 qui donnent toutes la possibilité au hacker d'exécuter du code arbitraire dans l'application distante grâce à un webshell.
Le chercheur confirme entre autre que de nombreux sites asiatiques sont victimes des attaques générées par cet outil, traduisant ainsi la forte présence sur la toile d'applications développées avec les versions vulnérables du Framework.
Par ailleurs il recommande vivement aux développeurs d'installer la mise à jour sécurisée du Framework.
Télécharger Apache Struts 2.3.15.1
Source : blog Trend Micro
Et vous ?
Utilisez-vous Apache Struts ?
Java : le Framework Web Apache Struts victime d'une faille de sécurité
Activement exploitée par des hackers chinois
Java : le Framework Web Apache Struts victime d'une faille de sécurité
Activement exploitée par des hackers chinois
Le , par Cedric Chevalier
Une erreur dans cette actualité ? Signalez-nous-la !