Найдена критическая «дыра» в ПО, используемом российскими банками

Опубликовано: 2 мая 2014 г., пятница

В популярном решении Apache Struts найдена критическая уязвимость «нулевого дня». Она позволяет злоумышленникам, манипулируя параметрами ClassLoader, выполнять на сервере с запущенным программным обеспечением Struts произвольный код.

Apache Struts - инструмент для разработчиков, фреймворк с открытым исходным кодом, предназначенный для создания веб-приложений на основе Java. «Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации», - прокомментировали новость об уязвимости в ИБ-компании Digital Security.

Обновление Apache Struts 2.3.16.2, устраняющее уязвимость в компоненте ClassLoader, разработчики Apache Struts выпустили 24 апреля 2014 г. По информации CNews, фреймворк Apache Struts применяют в своих ИТ-системах, в частности, Альфа-банк и платежная система Qiwi. «Платежный сервис Qiwi применяет Apache Struts, так как данное решение удобно и признано специалистами как надежное. Об уязвимости стало известно в день опубликования новости, благодаря чему в тот же день, на основании рекомендаций вендора, были приняты все необходимые меры для полного предотвращения ее вредоносного воздействия на систему. В ходе данных действий процессингу Qiwi не был нанесен ущерб», — заявил Антон Куранда, директор по безопасности Qiwi.

Представители Альфа-банка на момент публикации этого материала не ответили на запрос CNews в отношении закрытия уязвимости в Apache Struts. Предполагалось, что уязвимость будет устранена в версии 2.3.16.1, но введенных улучшений оказалось недостаточно. В итоге разработчики опубликовали на своем сайте инструкцию для временного устранения бреши, пока не выйдет новый патч. Она заключалась в редактировании файла struts.xml.

Обновление 2.3.16.1 было выпущено в начале марта, но лишь в конце апреля стало ясно, что оно не обеспечивает должный уровень защиты. Тем, кто еще не успел обновиться до Apache Struts 2.3.16.2, аналитики рекомендуют сделать это безотлагательно.

Источник: CNews
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Unibank запустил мобильный банк для бизнеса

ОАО Unibank (Азербайджан) внесло очередное новшество в сферу банковских услуг, создав для частных предпринимателей приложение Unibank Mobile BUSİNESS. дальше »

Количество POS терминалов в Латвии достигло 41 тысячи

По данным Ассоциации коммерческих банков Латвии, в прошлом году по сравнению с 2015 годом количество POS терминалов в Латвии увеличилось на 16%, достигнув 41 613. дальше »

Experian интегрирует в свою платформу биометрическую технологию BioCatch

Интеграция технологии BioCatch в платформу CrossCore обеспечивает высокий уровень защиты от мошенничества, даже если злоумышленникам удалось похитить персональные данные клиентов. дальше »

Чехи увлеклись картами

Жители Чехии все чаще оплачивают покупки, в том числе мелкие, с помощью банковских карт. Такие выводы можно сделать на основании исследования, проведенного Чешской банковской ассоциацией. дальше »

Мальта намерена внедрить стратегию блокчейн первой из стран ЕС

Кабинет министров Мальты одобрил проект национальной стратегии по продвижению блокчейна, сообщает Malta Today со ссылкой на слова премьер-министра Джозефа Муската. дальше »

Mastercard представляет банковскую карту нового поколения – биометрическую

Mastercard представила биометрическую банковскую карту нового поколения. В инновационной карте соединены EMV-чип и технология распознавания отпечатка пальца. Это позволяет ее держателю удобным и безопасным способом подтверждать свою личность при совершении покупок в торговых точках. дальше »

Прибыль Visa упала, но акции компании выросли

Чи­стая при­быль Visa Inc., одной из круп­ней­ших ком­па­ний по об­слу­жи­ва­нию банков­ских карт, во II квар­та­ле со­кра­ти­лась почти в че­ты­ре раза по срав­не­нию с уров­нем про­шло­го года, до 430 млн дол­ла­ров. дальше »

Visa и American Express объединяются для борьбы с мошенничеством

American Express и Visa объявили о изменениях в бесконтактных транзакциях, для защиты от мошенничества. дальше »

Совершена самая дорогая покупка через Apple Pay на $1 млн

Платежная система Apple Pay обрастает состоятельными клиентами, готовым оплатить не только продуктовый чек в ближайшем супермаркете, но и прикупить дорогостоящий редкий автомобиль. дальше »

Скимминг добрался до Одессы

Два одессита подделали 20 банковских карточек, по которым снимали в банкоматах деньги. дальше »