Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Duizenden bedrijven downloaden onveilige versie Apache Struts

maandag 7 mei 2018, 16:38 door Redactie, 5 reacties

Onveilige versies van Apache Struts, de software waardoor aanvallers vorig jaar bij Equifax de gegevens van 147 miljoen Amerikanen wisten te stelen, worden nog altijd massaal door bedrijven gedownload. Dat blijkt uit onderzoek van Sonatype, een bedrijf dat tools voor software-engineering aanbiedt.

Struts is een opensourceframework voor het ontwikkelen van Java-webapplicaties. De Amerikaanse kredietbeoordelaar Equifax werd vorig jaar mei gehackt via een beveiligingslek in Apache Struts waarvoor begin maart al een update was verschenen. Sinds het uitkomen van de gepatchte versie in maart, alsmede sinds het uitkomen van andere patches, blijkt dat er nog altijd duizenden organisaties zijn die een onveilige Struts-versie downloaden. Het gaat om zo'n 80.000 onveilige Struts-downloads per maand, met een uitschieter van bijna 100.000 downloads in november. Sonatype presenteerde de cijfers tijdens de afgelopen RSA Conferentie.

Het bedrijf kon de gegevens verzamelen via een code respository die het aanbiedt en waar veel softwareontwikkelaars gebruik van maken bij het ontwikkelen van applicaties. Als er een verzoek voor code in de respository binnenkomt, bepaalt Sonatype aan de hand van het ip-adres van de aanvrager om welke organisatie het gaat. Sinds het ernstige Struts-lek in maart vorig jaar werd gepatcht hebben bijna 11.000 organisaties een onveilige Struts-versie gedownload, waaronder 57 procent van de Fortune Global 100-bedrijven, zo meldt zakenblad Fortune. Meer dan 3.000 organisaties hebben de kwetsbare Struts-versie gedownload waardoor ook Equifax werd gehackt. Sonatype laat weten dat het probleem niet alleen bij Struts speelt. Ook bij andere opensourceprojecten komt het voor.

Image

Ticketmaster gaat gezichtsherkenning bij concerten testen
Eerste Intel-updates voor Spectre NG-lekken uitgesteld
Reacties (5)
08-05-2018, 09:43 door karma4
Dat is al het zelf uit de onderdelen opgebouwd wordt. Er zal nog veel meer zijn waar het als appliance dan wel service in de cloud neergezet is waar de afnemer geen weet van de versies heeft.
08-05-2018, 10:33 door Krakatau - Bijgewerkt: 08-05-2018, 10:35
Door karma4: Dat is al het zelf uit de onderdelen opgebouwd wordt. Er zal nog veel meer zijn waar het als appliance dan wel service in de cloud neergezet is waar de afnemer geen weet van de versies heeft.

Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...

Veel kwalijker is dat onveilige versies van Stuts nog steeds gedownload kunnen worden. Die onveilige versies zouden niet meer aangeboden mogen worden. Alleen gepatchte versies.
08-05-2018, 11:05 door karma4
Door Krakatau: ...
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
...
Onderdeel van een groot geheel met meerdere afhankelijkheden dat als oplossing neergezet is en met die versies werkt.
Dat ga je niet zo maar veranderen ongetest in productie daar gaat je duh .... Het is duh... toon maar aan dat het blijft werken.
08-05-2018, 11:46 door Krakatau - Bijgewerkt: 08-05-2018, 11:47
Door karma4:
Door Krakatau: ...
Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...
...
Onderdeel van een groot geheel met meerdere afhankelijkheden dat als oplossing neergezet is en met die versies werkt.
Dat ga je niet zo maar veranderen ongetest in productie daar gaat je duh .... Het is duh... toon maar aan dat het blijft werken.

Dat is allemaal de verantwoordelijkheid van de provider. Dat het proces van updaten dusdanig ingericht moet worden dat dit binnen redelijke tijd kan gebeuren is een no brainer. Als je dezelfde versie van Apache Struts installeert, echter mét beveiligingspatches dan zouden er geen gevolgen voor de productieomgeving moeten zijn. Daar zal in dit geval Apache wel voor waken.

Het excuus van 'het is allemaal te moeilijk' voor niet doorvoeren van beveiligingspatches is niet meer van deze tijd (zelfs niet van een eerdere tijd). Jouw opmerking versterkt het beeld dat je in een omgeving zit waar IT zwaar ondergebudgetteerd wordt. Of niet deskundig is (mogelijk als een gevolg van te laag budget voor cursussen, etc.)
22-05-2018, 10:10 door Anoniem
Door Krakatau:
Door karma4: Dat is al het zelf uit de onderdelen opgebouwd wordt. Er zal nog veel meer zijn waar het als appliance dan wel service in de cloud neergezet is waar de afnemer geen weet van de versies heeft.

Dat is de verantwoordelijkheid (en aansprakelijkheid) van de provider. Die moet tijdig security updates installeren. Duh...

Yeah, right. $provider verhuurt "ruimte" op een server en dient vervolgens de inhoud bij te houden? Nope, dat is aan diegene die die "ruimte" huurt. Als die er voor kiest domweg een oude versie te gebruiken, is dat zijn eigen verantwoording.

Door Krakatau:
Veel kwalijker is dat onveilige versies van Stuts nog steeds gedownload kunnen worden. Die onveilige versies zouden niet meer aangeboden mogen worden. Alleen gepatchte versies.

Lees goed: het gaat niet om downloads vanaf de "officiële" website/releases, maar om downloads uit een code repository.
Oudere "versies" is juist een *feature* van code repositories.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Smartengeld bij misbruik persoonsgegevens moet de regel zijn:

7 reacties
Aantal stemmen: 614
Image
Vacature
Vacature

Junior specialist OSINT

Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!

Lees meer
Kan de AVG ook als middel tegen oneerlijke concurentie worden ingezet?
24-02-2021 door Arnoud Engelfriet

Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...

6 reacties
Lees meer
Certified Secure LIVE Online training
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter