Un correctif zero day défaillant pour Apache Struts 2

Les failles de type zero day se développent fortement depuis quelques mois. Si les environnements Microsoft sont particulièrement visés (comme dans IE), le monde Open Source n’est pas exempté d’attaques. Ainsi au mois de mars dernier, un correctif a été publié  pour Apache Struts (en version 2.3.16.1), un framework qui sert au développement web Java EE sur une vulnérabilité dans ClassLoader. Cette dernière autorisait un attaquant à réaliser un deni de service sur le serveur exécutant Struts 2, via une requête des paramètres

Un remède en attendant un autre correctif

Or, le correctif proposé n’est pas suffisant, explique la Fondation Apache dans un message adressé aux utilisateurs. Elle annonce qu’un autre patch va être disponible dans les prochaines 72 heures pour régler complètement le problème. En attendant, la Fondation publie un remède sous forme de code à intégrer dans le logiciel en modifiant les appels aux paramètres. Elle invite les utilisateurs à appliquer ce remède sans attendre.

Développement des failles zero day

Les failles zero day ont tendance à croître. Dans son rapport annuel sur les menaces (IRTS), Symantec montre que leur nombre a augmenté de 68% en 2013 et ciblait notamment l’environnement Windows, mais aussi Java. Laurent Heslault, directeur des stratégies de sécurité chez Symantec, avait expliqué alors que, « le monde Open Source devient une cible, car il est de plus en plus utilisé au sein des entreprises ».

Une parole prémonitoire, avec l’affaire Heartbleed qui a montré la faiblesse dans la librairie OpenSSL  et les ratés de certains correctifs comme celui d’Akamai. Même les géants du web sont venus financièrement au chevet d’OpenSSL, mais travaillent plus largement pour la sécurisation des projets Open Source clés.

crédit photo © Beboy Fotolia.com

En complément :