VertiGIS nutzt diese Seite, um zentrale Informationen über folgende Sicherheitslücken in Apache Struts und ihre Auswirkungen auf Produkte der UT for ArcGIS-Produktfamilie bereitzustellen.
- CVE-2023-34149: Apache Struts: DoS via OOM owing to not properly checking of list bounds
- CVE-2023-34396: Apache Struts: DoS via OOM owing to no sanity limit on normal form fields in multipart forms
- CVE-2023-50164: Apache Struts: File upload component had a directory traversal vulnerability
Dieser Artikel wird aktualisiert, sobald neue Informationen verfügbar sind.
Betroffene Produkte
- UT Integrator
In der aktuellen Version (build 10.534.85) wird bereits eine Version von Apache Struts verwendet, die die Schwachstellen behebt. VertiGIS empfiehlt den Upgrade auf die aktuelle Version des UT Integrator.
- UT Bauauskunft (UT WBAU)
In der aktuellen Version (build 4098) wird bereits eine Version von Apache Struts verwendet, die die Schwachstellen behebt. VertiGIS empfiehlt den Upgrade auf die aktuelle Version der UT Bauauskunft.
- UT AppConnector
Es gibt derzeit keine Version, die bereits eine Version von Apache Struts verwendet, die die Schwachstellen behebt. Die Bereitstellung einer neuen Version ist aktuell nicht geplant. Die relevanten Bibliotheken können aber manuell ausgetauscht werden, um die Schwachstelle zu beheben. Diese Konstellation wurde bei uns mit der aktuellen Version 10.1009 geprüft und keine Probleme festgestellt.- Tomcat-Dienst des UT AppConnector beenden
- Im Verzeichnis WEB-INF\lib\ des UT AppConnector die Dateien struts2-json-plugin-2.5.20.jar und struts2-core-2.5.20.jar löschen
- Die Dateien aus dem Anhang in diesem Artikel in das gleiche Verzeichnis entpacken
- Tomcat-Dienst des UT AppConnector starten
Nicht betroffene Produkte
Andere Produkte im Umfeld von UT for ArcGIS, inklusive Plot und WMPS sind nicht betroffen, da sie kein Java einsetzen bzw. die Apache Struts Bibliothek nicht verwenden.
Kommentare
1 Kommentar
Bitte beachten Sie die Aktualisierung des Artikels bzgl. UT AppConnector.
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.