Найдена критическая «дыра» в ПО, используемом российскими банками

Опубликовано: 2 мая 2014 г., пятница

В популярном решении Apache Struts найдена критическая уязвимость «нулевого дня». Она позволяет злоумышленникам, манипулируя параметрами ClassLoader, выполнять на сервере с запущенным программным обеспечением Struts произвольный код.

Apache Struts - инструмент для разработчиков, фреймворк с открытым исходным кодом, предназначенный для создания веб-приложений на основе Java. «Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации», - прокомментировали новость об уязвимости в ИБ-компании Digital Security.

Обновление Apache Struts 2.3.16.2, устраняющее уязвимость в компоненте ClassLoader, разработчики Apache Struts выпустили 24 апреля 2014 г. По информации CNews, фреймворк Apache Struts применяют в своих ИТ-системах, в частности, Альфа-банк и платежная система Qiwi. «Платежный сервис Qiwi применяет Apache Struts, так как данное решение удобно и признано специалистами как надежное. Об уязвимости стало известно в день опубликования новости, благодаря чему в тот же день, на основании рекомендаций вендора, были приняты все необходимые меры для полного предотвращения ее вредоносного воздействия на систему. В ходе данных действий процессингу Qiwi не был нанесен ущерб», — заявил Антон Куранда, директор по безопасности Qiwi.

Представители Альфа-банка на момент публикации этого материала не ответили на запрос CNews в отношении закрытия уязвимости в Apache Struts. Предполагалось, что уязвимость будет устранена в версии 2.3.16.1, но введенных улучшений оказалось недостаточно. В итоге разработчики опубликовали на своем сайте инструкцию для временного устранения бреши, пока не выйдет новый патч. Она заключалась в редактировании файла struts.xml.

Обновление 2.3.16.1 было выпущено в начале марта, но лишь в конце апреля стало ясно, что оно не обеспечивает должный уровень защиты. Тем, кто еще не успел обновиться до Apache Struts 2.3.16.2, аналитики рекомендуют сделать это безотлагательно.

Источник: CNews
Копировать, распространять, публиковать информацию портала News.lt без письменного согласия редакции запрещено.

Комментарии Facebook

Новый комментарий


Captcha

статьи по схожей тематике

Музыкальное сообщество объединяется для создания блокчейн–решения для защиты от пиратства

Три сообщества, которым поручено защищать права интеллектуальной собственности музыкантов, писателей и других создателей контента, объединили свои усилия для создания блокчейн–решения для предотвращения пиратства. дальше »

Assist завершил интеграцию с Казкоммерцбанком

Провайдер электронных платежей Assist сообщил об успешном завершении технической интеграции с крупнейшим коммерческим банком Казахстана – Казкоммерцбанком. дальше »

Банковский троян Hesperbot похищает виртуальные валюты

ESET: Теперь троян нацелен, в основном, на Германию и Австралию. дальше »

Visa обучает бывших американских военных финансовой грамотности

При поддержке Visa была создана Финансовая коалиция ветеранов, которая оказывает образовательную поддержку бывшим американским военнослужащим, возвращающимся к гражданской жизни. дальше »

Банк Англии работает над совместимой с блокчейном системой валовых расчетов

Новая система валовых расчетов в режиме реального времени, над созданием которой в настоящий момент работает Банк Англии, будет совместима с технологией распределенного реестра. дальше »

Хакеры создали фиктивный сайт Нацбанка Казахстана для кражи денег со счетов

Кибератака на «Банк ЦентрКредит» (Казахстан) была совершена с помощью фиктивного сайта Национального Банка Казахстана. дальше »

WhatsApp запустит денежные переводы между пользователями в Индии

Мобильный мессенджер WhatsApp запустит в Индии сервис денежных переводов p2p. дальше »

Литовский регулятор ускоренно выдаст лицензии платежным компаниям

Учитывая возможность предстоящего выхода Великобритании из Евросоюза, с интересным предложением по лицензированию payment institution выступила Литва. дальше »

MasterCard: европейские покупатели не заинтересованы в цифровых валютах

Результаты опроса, проведенного компанией MasterCard, показали, что европейские потребители очень редко используют цифровую валюту при совершении электронных платежей. дальше »

Банк БелВЭБ запустил новую версию интернет-банка BelVEB24 для физических лиц

С 22 марта 2017 года клиентам Банка БелВЭБ – физическим лицам доступна новая версия интернет-банка под названием BelVEB24, которая предоставить пользователям возможность еще более современно и технологично управлять своими финансами. дальше »