Duizenden bedrijven downloaden onveilige versie Apache Struts
Onveilige versies van Apache Struts, de software waardoor aanvallers vorig jaar bij Equifax de gegevens van 147 miljoen Amerikanen wisten te stelen, worden nog altijd massaal door bedrijven gedownload. Dat blijkt uit onderzoek van Sonatype, een bedrijf dat tools voor software-engineering aanbiedt.
Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. De Amerikaanse kredietbeoordelaar Equifax werd vorig jaar mei gehackt via een beveiligingslek in Apache Struts waarvoor begin maart al een update was verschenen. Sinds het uitkomen van de gepatchte versie in maart, alsmede sinds het uitkomen van andere patches, blijkt dat er nog altijd duizenden organisaties zijn die een onveilige Struts-versie downloaden. Het gaat om zo'n 80.000 onveilige Struts-downloads per maand, met een uitschieter van bijna 100.000 downloads in november. Sonatype presenteerde de cijfers tijdens de afgelopen RSA Conferentie.
Het bedrijf kon de gegevens verzamelen via een code respository die het aanbiedt en waar veel softwareontwikkelaars gebruik van maken bij het ontwikkelen van applicaties. Als er een verzoek voor code in de respository binnenkomt, bepaalt Sonatype aan de hand van het ip-adres van de aanvrager om welke organisatie het gaat. Sinds het ernstige Struts-lek in maart vorig jaar werd gepatcht hebben bijna 11.000 organisaties een onveilige Struts-versie gedownload, waaronder 57 procent van de Fortune Global 100-bedrijven, zo meldt zakenblad Fortune. Meer dan 3.000 organisaties hebben de kwetsbare Struts-versie gedownload waardoor ook Equifax werd gehackt. Sonatype laat weten dat het probleem niet alleen bij Struts speelt. Ook bij andere opensourceprojecten komt het voor.
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
Veel kwalijker is dat onveilige versies van Stuts nog steeds gedownload kunnen worden. Die onveilige versies zouden niet meer aangeboden mogen worden. Alleen gepatchte versies.
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
...
Dat ga je niet zo maar veranderen ongetest in productie daar gaat je duh .... Het is duh... toon maar aan dat het blijft werken.
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
...
Dat ga je niet zo maar veranderen ongetest in productie daar gaat je duh .... Het is duh... toon maar aan dat het blijft werken.
Dat is allemaal de verantwoordelijkheid van de provider. Dat het proces van updaten dusdanig ingericht moet worden dat dit binnen redelijke tijd kan gebeuren is een no brainer. Als je dezelfde versie van Apache Struts installeert, echter mét beveiligingspatches dan zouden er geen gevolgen voor de productieomgeving moeten zijn. Daar zal in dit geval Apache wel voor waken.
Het excuus van 'het is allemaal te moeilijk' voor niet doorvoeren van beveiligingspatches is niet meer van deze tijd (zelfs niet van een eerdere tijd). Jouw opmerking versterkt het beeld dat je in een omgeving zit waar IT zwaar ondergebudgetteerd wordt. Of niet deskundig is (mogelijk als een gevolg van te laag budget voor cursussen, etc.)
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
Yeah, right. $provider verhuurt "ruimte" op een server en dient vervolgens de inhoud bij te houden? Nope, dat is aan diegene die die "ruimte" huurt. Als die er voor kiest domweg een oude versie te gebruiken, is dat zijn eigen verantwoording.
Veel kwalijker is dat onveilige versies van Stuts nog steeds gedownload kunnen worden. Die onveilige versies zouden niet meer aangeboden mogen worden. Alleen gepatchte versies.
Lees goed: het gaat niet om downloads vanaf de "officiële" website/releases, maar om downloads uit een code repository.
Oudere "versies" is juist een *feature* van code repositories.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security engineer
Werken aan optimale informatiebeveiliging voor en bij NPO in Hilversum. Dát is jouw doel als Security engineer. Met elke handeling die jij uitvoert, draag je eraan bij de verspreiding van het media-aanbod van de publieke omroep nog veiliger te maken. Interessant? Bekijk dan onze vacature.
Telecom IT-security-expert
Netwerken in ons land moeten betrouwbaar, beschikbaar én veilig zijn. Daarover bestaat bij jou geen discussie. En daaraan lever jij met je kennis en ervaring op het vlak van cybersecurity en telecommunicatienetwerken graag een bijdrage. Als telecom IT-security-expert draag je nadrukkelijk bij aan veilige netwerken voor telefonie en internetgebruik.
Adviseur digitalisering vastgoed
Als het op vastgoed aankomt, wil het Rijksvastgoedbedrijf de toon zetten. De beveiliging is een van de belangrijkste en uitdagendste aspecten daarvan. Digitalisering schept nieuwe mogelijkheden voor aanvallen, maar óók voor security. Gelukkig ga jij het Rijksvastgoedbedrijf in Den Haag versterken met jouw expertise.
Security Manager
Als Security Manager ben je verantwoordelijk voor de definitie en updates van het IT Security, Compliance (controls en maatregelen) en Continuity beleid. Je wordt onderdeel van IT & Facilities, waar al 8 enthousiaste IT collega’s samenwerken aan het beheren van de applicaties en de infrastructuur.