Hi, I installed LASv8.5.1. I moved it in operational phase this Monday and we encountered a major security issue. Our server has been hacked follow to a security issue from a struts2 vulnerability.
Our problem is describe here:
https://lab.wallarm.com/new-struts2-remote-code-execution-exploit-caught-in-the-wild-34e52fa8e2 As you can see, this issue is due to Struts before v2.3.32 (for 2.3.x versions of struts) or before 2.5.10.1 (for 2.5.x versions of struts) . The las v8.5.1 has the version 2.3.31 of struts. So we are impacted… You can have more informations about this vulnerability, follow this link:
http://www.cvedetails.com/cve/CVE-2017-5638/ To be corrected, the version of struts must be in 2.3.32 or in 2.5.10.1. Could you please tell me if a fix can be installed? Is the upgrade of struts to the version 2.3.32 is possible for las v8.5.1? Thanks Morgan BILLON SCALIAN EUROGICIEL
pour CLS Ingenieur d'exploitation Parc Technologique du Canal, 11 Rue Hermès, 31520 Ramonville-Saint-Agne Tél : +33 5 61 39 37 51 E-mail :
mbillon@xxxxxx Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite. L'Internet ne permettant pas d'assurer l'intégrité de ce message électronique susceptible d'altération, l’expéditeur (et ses filiales) décline(nt) toute responsabilité au titre de ce message dans l'hypothèse où il aurait été modifié ou falsifié. This message and any attachments (the "message") is intended solely for the intended recipient(s) and is confidential. If you receive this message in error, or are not the intended recipient(s), please delete it and any copies from your systems and immediately notify the sender. Any unauthorized view, use that does not comply with its purpose, dissemination or disclosure, either whole or partial, is prohibited. Since the internet cannot guarantee the integrity of this message which may not be reliable, the sender (and its subsidiaries) shall not be liable for the message if modified or falsified. |