- Erstellt von //SEIBERT/MEDIA Employee, zuletzt geändert von Systems am Nov 26, 2018
Crowd - CVE-2017-5638
| Zusammenfassung | CVE-2017-5638 - Code-Ausführung in Crowd aus der Ferne. |
|---|---|
| Veröffentlichungsdatum | 10 AM PDT (Pacific Time, -7 Stunden) |
| Produkt | Crowd. (CrowdID ist ebenfalls betroffen, Embedded Crowd jedoch nicht) |
| Betroffene Crowd-Versionen |
|
| CVE ID(s) | CVE-2017-5638 |
Zusammenfassung der Schwachstelle
Diese Empfehlung gibt eine kritische Sicherheitslücke bekannt, die mit der Crowd-Version 2.8.3 eingeführt wurde. Crowd-Versionen von 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x), von 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x) und von 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x) sind von dieser Sicherheitslücke betroffen.
Atlassian Cloud Instanzen sind nicht von dem hier beschriebenen Problem betroffen.
Wenn Sie Crowd auf die Version 2.9.7, 2.10.3 oder 2.11.1 aktualisiert haben, sind Sie nicht von diesem Problem betroffen.
Bitte aktualisieren Sie Ihre Crowd-Version umgehend, um diese Schwachstelle zu beheben, wenn Sie eine der folgenden Crowd-Versionen haben:
- Von >= 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x)
- Von >= 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x)
- Von >= 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x)
Code-Ausführung über Apache Struts 2 aus der Ferne (CVE-2017-5638)
Schweregrad
Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß Atlassians Schweregraden, als kritisch ein. Die Skala erlaubt Atlassian die Schweregrade als kritisch, hoch, moderat oder niedrig.
Dies ein eine unabhängige Bewertung. Sie sollten dessen Anwendbarkeit auf Ihre eigene IT-Umgebung überprüfen.
Beschreibung
Crowd verwendet eine Version von Apache Struts 2, die nach CVE-2017-5638 verwundbar war. Angreifer können diese Schwachstelle dazu verwenden ihren Java-Code ohne Authentifizierung auf Systemen auszuführen, die eine der Crowd-Versionen verwenden, die diese Sicherheitslücke hat.
Alle Crowd-Versionen von 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x), von 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x) und von 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x) sind von dieser Schwachstelle betroffen. Sie können den Vorgang hier weiterverfolgen: CWD-4879 - Apache Struts 2 Remote Code Execution (CVE-2017-5638) CLOSED.
Behebung
Um dieses Problem zu beseitigen, hat Atlassian die folgenden Versionen veröffentlicht, die einen Fix beinhalten:
- Crowd-Version 2.9.7
- Crowd-Version 2.10.3
- Crowd-Version 2.11.1
Was Sie tun müssen
Aktualisieren Sie Crowd auf die Version 2.11.1 oder höher
Die Schwachstellen und die Fix-Versionen sind oben beschrieben. Wenn Ihre Version betroffen ist, sollten Sie umgehend auf die neueste Version upgraden.
Wenn Sie Crowd 2.10.x verwenden und nicht auf 2.11.1 upgraden können, aktualisieren Sie auf die Version 2.10.3.
Wenn Sie Crowd 2.0.x verwenden und nicht auf 2.11.1 upgraden können, aktualisieren Sie auf die Version 2.9.7.
Lesen Sie für die vollständige Beschreibung der neuesten Crowd-Version die Release Notes. Sie können die neueste Crowd-Version aus dem Download Center herunterladen.
Entdeckung
Angesichts der Tatsache, dass Atlassian die Schwachstelle bestätigte, empfehlen wir Kunden nach Anzeichen zu suchen, selbst wenn sie umgehend eine Aktualisierung durchgeführt haben. Das Ausmachen solcher Angriffe ist Umgebungs-spezifisch, jedoch finden sich unten trotzdem einige Indikatoren, die Sie nützlich finden könnten.
Derselbe Ausdruck kann über alle Log-Typen hinweg verwendet werden. Er ist besonders hilfreich, wenn Sie einen SIEM oder Log-Aggregator für die Analyse aller Logs zur gleichen Zeit verwenden:
grep -E 'InvalidContentTypeException.+multipart\/form\-data' *.log
Wenn ein Code aus der Ferne ausgeführt werden würde, würden Sie einen OGNL-Ausdruck sehen, der auf dem Server ausgewertet wird. Diese Befehle beginnen typischerweise mit "#cmd=" oder "#cmds=", so wie hier:
(#cmd='ls')
(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd}))
Crowd protokolliert all seine Applikations-Events in der "atlassian-crowd.log" Datei. Der Standardpfad ist: "<CROWD_HOME>/logs/atlassian-crowd.log.
017-03-10 10:27:29,340 http-bio-8095-exec-22 WARN [struts2.dispatcher.multipart.JakartaMultiPartRequest] Unable to parse request
org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/mixed stream, content type header is %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#
_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='touch /tmp/pwned').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
...
Support
Wenn Sie Bedenken oder Fragen bezüglich dieser Empfehlung haben, reichen Sie bitte eine Support-Anfrage unter https://support.atlassian.com/ ein.
Referenzen
| Richtlinie für Sicherheits-Bug-Fixes | Gemäß Atlassians neuer Richtlinie werden kritische Sicherheits-Bug-Fixes zu Hauptversionen für bis zu 12 Monaten für Jira und Confluence zurück portiert. Atlassian wird neue Service-Pakete, anstatt Binary-Patches, für die Versionen herausgeben, die von der neuen Richtlinie abgedeckt sind. Binary-Patches werden nicht mehr veröffentlicht. |
| Schweregrade der Sicherheitslücken | In Atlassians Sicherheitsempfehlungen sind Schweregrade und CVE-Kennungen enthalten. Die Schweregrade basieren auf Atlassians selbst-kalkulierten CVSS-Punktezahl für jede Schwachstelle. CVSS ist eine Industriestandard Schwachstellen-Metrik. Sie können auf FIRST.org mehr über CVSS erfahren. |
| End-of-Life Richtlinie (auf Englisch) | Atlassians End-of-Life Richtlinie variiert je nach Produkt. Lesen Sie bitte die EOL-Richtlinie für weitere Details. |
Dieser Inhalt wurde zuletzt am 26.11.2018 aktualisiert.
Der Inhalt auf dieser Seite ist schon seit einer Weile nicht mehr aktualisiert worden. Das muss kein Nachteil sein. Oft überdauern unsere Seiten Jahre, ohne wirklich unnütz zu werden. Einfach auf diesen Link klicken, wenn wir die Seite mal wieder aktualisieren sollten. Alte Inhalte können falsch, irreführend oder überholt sein. Bitte nutzen Sie das Formular oder den Live-Chat auf dieser Seite oder kontaktieren Sie uns via E-Mail unter content@seibert.group, wenn Sie Zweifel, Fragen, Anregungen oder Änderungswünsche haben.