[Thread Prev][Thread Next][Index]

Re: [las_users]LASv8.5.1 major security issues from a struts2 vulnerability



Hello Billon

The LAS Downloads page was out of date.  Please install 8.6.1, which includes a number of updates to LAS in order to work well with the STRUTS library update. The changes for 8.6.1 may resolve the problems that you ad installing 8.6. Versions 8.6 and 8.6.1 version are use on our servers and other partner sites.

LAS v8.6.1 requires Ferret v6.95 or higher. I recommend that you use any Ferret version of at least that number, but not the very latest release, v7.2.

Ansley



On 7/31/2017 5:08 AM, Billon Morgan (SCALIAN) wrote:

Hi,

 

I installed the 8.5.1 version of LAS because it’s the latest stable version in the downloads section of the LAS website (Furthermore, I had some problems with the 8.6 version, 3 months ago).

Do you think a patch or a struts upgrade is possible? Or do I need to install the 8.6.1 inevitably?

 

Thanks

 

Morgan

 

De : owner-las_users@xxxxxxxx [mailto:owner-las_users@xxxxxxxx] De la part de Ansley C. Manke
Envoyé : jeudi 27 juillet 2017 18:28
À : las_users@xxxxxxxx
Objet : Re: [las_users]LASv8.5.1 major security issues from a struts2 vulnerability

 

Hi Morgan,

The most recent LAS release, v8.6 and 8.6.1 address Struts2 vulnerabilities:
https://www.pmel.noaa.gov/maillists/tmap/las_users/fu_2017/msg00002.html

These may be found on the LAS git-hub page https://github.com/NOAA-PMEL/LAS/releases
 or the FTP directory, ftp://ftp.pmel.noaa.gov/pub/las/

Roland can answer your questions in more detail, but he is away until August 7.

Ansley

On 7/27/2017 1:06 AM, Billon Morgan (SCALIAN) wrote:

Hi,

 

I installed LASv8.5.1. I moved it in operational phase this Monday and we encountered a major security issue. Our server has been hacked follow to a security issue from a struts2 vulnerability.

Our problem is describe here: https://lab.wallarm.com/new-struts2-remote-code-execution-exploit-caught-in-the-wild-34e52fa8e2

 

As you can see, this issue is due to Struts before v2.3.32 (for 2.3.x versions of struts) or before 2.5.10.1 (for 2.5.x versions of struts) . The las v8.5.1 has the version 2.3.31 of struts. So we are impacted…

 

You can have more informations about this vulnerability, follow this link: http://www.cvedetails.com/cve/CVE-2017-5638/

To be corrected, the version of struts must be in 2.3.32 or in 2.5.10.1.

 

Could you please tell me if a fix can be installed? Is the upgrade of struts to the version 2.3.32 is possible for las v8.5.1?

 

 

Thanks

 

Morgan BILLON

SCALIAN EUROGICIEL pour CLS

Ingenieur d'exploitation

Parc Technologique du Canal, 11 Rue Hermès, 31520 Ramonville-Saint-Agne

 

Tél : +33 5 61 39 37 51

E-mail : mbillon@xxxxxx

 


Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite. L'Internet ne permettant pas d'assurer l'intégrité de ce message électronique susceptible d'altération, l’expéditeur (et ses filiales) décline(nt) toute responsabilité au titre de ce message dans l'hypothèse où il aurait été modifié ou falsifié.

This message and any attachments (the "message") is intended solely for the intended recipient(s) and is confidential. If you receive this message in error, or are not the intended recipient(s), please delete it and any copies from your systems and immediately notify the sender. Any unauthorized view, use that does not comply with its purpose, dissemination or disclosure, either whole or partial, is prohibited. Since the internet cannot guarantee the integrity of this message which may not be reliable, the sender (and its subsidiaries) shall not be liable for the message if modified or falsified.  



Cliquez ici si ce message est indésirable (pourriel). Click ici if this mail is unwanted (SPAM).


Ce message et toutes les pièces jointes (ci-après le "message") sont établis à l'intention exclusive de ses destinataires et sont confidentiels. Si vous recevez ce message par erreur ou s'il ne vous est pas destiné, merci de le détruire ainsi que toute copie de votre système et d'en avertir immédiatement l'expéditeur. Toute lecture non autorisée, toute utilisation de ce message qui n'est pas conforme à sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite. L'Internet ne permettant pas d'assurer l'intégrité de ce message électronique susceptible d'altération, l’expéditeur (et ses filiales) décline(nt) toute responsabilité au titre de ce message dans l'hypothèse où il aurait été modifié ou falsifié.

This message and any attachments (the "message") is intended solely for the intended recipient(s) and is confidential. If you receive this message in error, or are not the intended recipient(s), please delete it and any copies from your systems and immediately notify the sender. Any unauthorized view, use that does not comply with its purpose, dissemination or disclosure, either whole or partial, is prohibited. Since the internet cannot guarantee the integrity of this message which may not be reliable, the sender (and its subsidiaries) shall not be liable for the message if modified or falsified.  



[Thread Prev][Thread Next][Index]


Contact Us
Dept of Commerce / NOAA / OAR / PMEL / TMAP

Privacy Policy | Disclaimer | Accessibility Statement