La difficulté de corriger les vulnérabilités de désérialisation
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java.
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
La semaine dernière, il a été signalé que l'une des causes possibles de la violation de données d'Equifax était une vulnérabilité du plugin Apache Struts REST. L'ancienne version du plugin est vulnérable aux attaques d'exécution de code à distance lorsqu'elle est utilisée avec le gestionnaire XStream pour gérer les charges utiles XML. La cause est désérialisation de données non fiables, qui est un type de vulnérabilité bien connu. La vulnérabilité, officiellement reconnue comme CVE-2017-9805, a été corrigé par Apache le 5 septembre dans la version 2.5.13 de Struts. C'était alors annoncé et clairement documenté dans la documentation Apache Struts.
La simple mise à niveau vers la dernière version de Struts peut protéger l'application contre cette attaque, alors pourquoi les entreprises ne procèdent-elles pas immédiatement à la mise à niveau ? Le problème des vulnérabilités de désérialisation est que les routines exploitées sont souvent celles sur lesquelles repose le code de l'application. Dans ce cas, l'application du nouveau patch Struts peut avoir des effets secondaires, car documentation sur la vulnérabilité mentionne : « Il est possible que certaines actions REST cessent de fonctionner en raison de restrictions par défaut appliquées aux classes disponibles ». Il est très probable que s'assurer que l'application continue de fonctionner sur les nouvelles versions de Struts prend un certain temps.
Les pirates informatiques n'ont cependant pas besoin de beaucoup de temps pour commencer à abuser des vulnérabilités publiées, et nous pouvons déjà constater certains exploits publié. Un métasploit module a été ajoutée le 8 septembre, soit trois jours après qu'Apache ait corrigé la vulnérabilité. Reporter votre patch n'est clairement pas une bonne idée !
La solution consiste à implémenter une solution de contournement suggérée par Apache, qui pourrait être réalisée dans un délai plus court. Un outil de sécurité avec des directives de codage configurables pour appliquer cette solution de contournement ou même l'appliquer automatiquement accélérerait considérablement ce processus.
Souhaitez-vous en savoir plus sur la manière d'identifier et de sécuriser le code contenant la désérialisation de données non fiables ? Visitez le portail Secure Code Warrior pour obtenir des informations claires explication et défi d'entraînement.
La vulnérabilité est liée à la façon dont Struts analyse ce type de données et les convertit en informations pouvant être interprétées par le langage de programmation Java. Lorsque la vulnérabilité est exploitée avec succès, du code malveillant peut être caché à l'intérieur de ces données et exécuté lorsque Struts tente de les convertir.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Inhaltsverzeichnis
Chercheur en sécurité des applications - Ingénieur R&D - Candidat au doctorat
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
Die Leistungsfähigkeit von OpenText Application Security + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.