W ubiegłym tygodniu fundacja Apache Software Foundation poinformowała o lukach bezpieczeństwa we framework’u Apache Struts 2. Firma Cisco poinformowała, że luki mogą dotyczyć części oprogramowania tej firmy. Dwie z podatności (CVE-2017-12611 oraz CVE-2017-9805) umożliwiają napastnikowi zdalne wywołanie kodu, dwie (CVE-2017-9793, CVE-2017-9804) – zablokowanie dostępu (DoS).
Apache Struts 2 to framework typu MVC służący do budowania aplikacji internetowych w JAVA, wykorzystywany powszechnie w rozwiązaniach serwerowych i korporacyjnych, między innymi w tak popularnym oprogramowaniu jak Cisco WebEx. Istnieją podejrzenia, że opublikowane ostatnio luki lub inna, odkryta w pierwszej połowie 2017 roku (CVE-2017-5638) była wykorzystana do uzyskania dostępu do danych 143 milionów klientów firmy Equifax.
Aktualnie nie zostały wydane poprawki likwidujące tą podatność dla oprogramowania Cisco. Firma Cisco bada, jakie oprogramowanie posiada powyższe podatności. Wśród potwierdzonych produktów są:
- Cisco Digital Media Manager
- Cisco MXE 3500 Series Media Experience Engines
- Cisco Unified Contact Center Enterprise
- Cisco Unified Intelligent Contact Management Enterprise
- Cisco Network Performance Analysis
- Cisco Hosted Collaboration Solution for Contact Center
CERT PSE zaleca zapoznanie się z informacjami na stronie producenta:
Multiple Vulnerabilities in Apache Struts 2 Affecting Cisco Products: September 2017