Aller au contenu principal

Dernières informations sur les vulnérabilités d'Apache Struts dans le contexte d'UT pour ArcGIS

Mise à jour

VertiGIS utilise cette page pour fournir des informations centralisées sur les vulnérabilités suivantes dans Apache Struts et leur impact sur la famille de produits UT for ArcGIS.

  • CVE-2023-34149: Apache Struts: DoS via OOM owing to not properly checking of list bounds
  • CVE-2023-34396: Apache Struts: DoS via OOM owing to no sanity limit on normal form fields in multipart forms
  • CVE-2023-50164: Apache Struts: File upload component had a directory traversal vulnerability

Cet article sera mis à jour lorsque de nouvelles informations seront disponibles.

 

Produits concernés

  • UT Integrator
    La version actuelle (build 10.534.85) utilise déjà une version d'Apache Struts qui inclut des correctifs pour les vulnérabilités. VertiGIS recommande de mettre à jour la version actuelle d'UT Integrator.

  • UT Click Before You Dig (UT CBYD)
    La version actuelle (build 4098) utilise déjà une version d'Apache Struts qui inclut des correctifs pour les vulnérabilités. VertiGIS recommande de mettre à jour la version actuelle de UT Click Before You Dig.

  • UT AppConnector
    Il n'existe actuellement aucune version qui utilise déjà une version d'Apache Struts qui corrige les vulnérabilités. La publication d'une nouvelle version n'est actuellement pas prévue. Cependant, les bibliothèques concernées peuvent être remplacées manuellement pour corriger la vulnérabilité. Nous avons testé cette constellation avec la version actuelle 10.1009 et n'avons trouvé aucun problème.
    • Arrêter le service Tomcat de l'UT AppConnector
    • Supprimer les fichiers struts2-json-plugin-2.5.20.jar et struts2-core-2.5.20.jar dans le répertoire WEB-INF\lib\ de l'UT AppConnector.
    • Décompressez les fichiers de la pièce jointe de cet article dans le même répertoire.
    • Démarrer le service Tomcat de l'UT AppConnector

 

Produits non concernés

D'autres produits autour de UT for ArcGIS, y compris Plot et WMPS ne sont pas affectés car ils n'utilisent pas Java ou la bibliothèque Apache Struts.

 

Articles associés

Commentaires

1 commentaire

Date Votes
  • Torsten Serfling

    Veuillez noter la mise à jour de l'article concernant UT AppConnector.

    0

Vous devez vous connecter pour laisser un commentaire.