Hi,
I installed the 8.5.1 version of LAS because it’s the latest stable version in the downloads section of the LAS website (Furthermore, I had some problems with the 8.6 version, 3 months ago).
Do you think a patch or a struts upgrade is possible? Or do I need to install the 8.6.1 inevitably?
Thanks
Morgan
De : owner-las_users@xxxxxxxx [mailto:owner-las_users@xxxxxxxx]
De la part de Ansley C. Manke
Envoyé : jeudi 27 juillet 2017 18:28
À : las_users@xxxxxxxx
Objet : Re: [las_users]LASv8.5.1 major security issues from a struts2 vulnerability
Hi Morgan,
The most recent LAS release, v8.6 and 8.6.1 address Struts2 vulnerabilities:
https://www.pmel.noaa.gov/maillists/tmap/las_users/fu_2017/msg00002.html
These may be found on the LAS git-hub page
https://github.com/NOAA-PMEL/LAS/releases
or the FTP directory, ftp://ftp.pmel.noaa.gov/pub/las/
Roland can answer your questions in more detail, but he is away until August 7.
Ansley
On 7/27/2017 1:06 AM, Billon Morgan (SCALIAN) wrote:
Hi,
I installed LASv8.5.1. I moved it in operational phase this Monday and we encountered a major security issue. Our server has been hacked follow to a security issue from a struts2 vulnerability.
Our problem is describe here:
https://lab.wallarm.com/new-struts2-remote-code-execution-exploit-caught-in-the-wild-34e52fa8e2
As you can see, this issue is due to Struts before v2.3.32 (for 2.3.x versions of struts) or before 2.5.10.1 (for 2.5.x versions of struts) . The las v8.5.1 has the version 2.3.31 of struts. So we are impacted…
You can have more informations about this vulnerability, follow this link:
http://www.cvedetails.com/cve/CVE-2017-5638/
To be corrected, the version of struts must be in 2.3.32 or in 2.5.10.1.
Could you please tell me if a fix can be installed? Is the upgrade of struts to the version 2.3.32 is possible for las v8.5.1?
Thanks
Morgan BILLON
SCALIAN EUROGICIEL
pour CLS
Ingenieur d'exploitation
Parc Technologique du Canal, 11 Rue Hermès, 31520 Ramonville-Saint-Agne
Tél : +33 5 61 39 37 51
E-mail :
mbillon@xxxxxx
Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou
s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute
publication, totale ou partielle, est interdite. L'Internet ne permettant pas d'assurer l'intégrité de ce message électronique susceptible d'altération, l’expéditeur (et ses filiales) décline(nt) toute responsabilité au titre de ce message dans l'hypothèse
où il aurait été modifié ou falsifié.
This message and any attachments (the "message") is intended solely for the intended recipient(s) and is confidential. If you receive this message in error, or are not the intended recipient(s),
please delete it and any copies from your systems and immediately notify the sender. Any unauthorized view, use that does not comply with its purpose, dissemination or disclosure, either whole or partial, is prohibited. Since the internet cannot guarantee
the integrity of this message which may not be reliable, the sender (and its subsidiaries) shall not be liable for the message if modified or falsified.
Cliquez
ici si ce message est indésirable (pourriel). Click
ici if this mail is unwanted (SPAM).
Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par
erreur ou s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion
ou toute publication, totale ou partielle, est interdite. L'Internet ne permettant pas d'assurer l'intégrité de ce message électronique susceptible d'altération, l’expéditeur (et ses filiales) décline(nt) toute responsabilité au titre de ce message dans l'hypothèse
où il aurait été modifié ou falsifié.
This message and any attachments (the "message") is intended solely for the intended recipient(s) and is confidential. If you receive this message in error, or are not the intended
recipient(s), please delete it and any copies from your systems and immediately notify the sender. Any unauthorized view, use that does not comply with its purpose, dissemination or disclosure, either whole or partial, is prohibited. Since the internet cannot
guarantee the integrity of this message which may not be reliable, the sender (and its subsidiaries) shall not be liable for the message if modified or falsified.
|