BT

Posicionamento da Apache frente à possível falha de segurança do Struts no caso da Equifax

| por Tim Hodkinson Seguir 12 Seguidores , Charles Humble Seguir 903 Seguidores , traduzido por Helio Silva Seguir 0 Seguidores em 19 out 2017. Tempo estimado de leitura: 2 minutos |

Notícias divulgadas na imprensa e em mídias online afirmam que os hackers roubaram dados pessoais de 143 milhões de Americanos da Equifax, empresa de relatório de crédito, explorando uma falha de segurança no Apache Struts framework. O Struts é um framework MVC para a criação de páginas web Java. A Fundação Apache Software, que mantém o framework, liberou uma declaração respondendo às queixas.

Inicialmente, as notícias sugeriram que a brecha poderia ter sido uma falha desconhecida no Struts. A Equifax admitiu que o CVE-2017-5638 foi a vulnerabilidade do Struts usada no ataque, e, desde que este artigo foi publicado, a Fundação Apache também confirmou a informação.

Essa falha, que está no Multipart parser Jakarta no Apache Struts 2 da versão 2.3.x até 2.3.32 e 2.5.x até 2.5.10, foi divulgada e corrigida em março pelo time Apache Struts. Entretanto, a falha ocorreu na Equifax no meio de Maio, e permaneceu aberta até que a empresa descobriu o ocorrido, no final de Julho. Durante este tempo os hackers tiveram acesso aos dados pessoais de clientes incluindo o número de segurança social, datas de aniversários e endereços. 209.000 clientes também tiveram seus números de cartões de créditos acessados e os dados pessoais de um números desconhecidos de cidadãos do Reino Unido e Canadá também foram expostos.

Bastante presente no desenvolvimento de aplicações web Java, os números do Struts em toda a indústria permanece substancial, especialmente no legado de aplicações corporativas. O Comitê de Gerenciamento de Projeto da Fundação Apache Software respondeu às queixas na mídia, elencando vários pontos.

Primeiro, que ainda não está claro se foi ou não a falha no Struts que, de fato, causou o problema. Segundo, caso o problema tenha sido causado por alguma falha no Struts, os hackers devem ter "acessado uma versão antiga em um dos servidores da Equifax que ainda não havia sido corrigido, ou exploraram uma vulnerabilidade ainda não conhecida até o momento".

Esse comentário foi divulgado em função da especulação de que a brecha explorada pelos hackers foi a vulnerabilidade CVE-2017-9805, publicamente anunciada em 4 de setembro, um mês após a brecha na Equifax foi descoberta. A declaração vai em direção aos princípios de engenharia de software que, se seguido por qualquer um que utilize uma biblioteca aberta ou fechada de código, irá "ajudar a prevenir falhas como as que foram, infelizmente, experimentadas pela Equifax".

As ações da Equifax caíram aproximadamente 14% em Wall Street e a BBC relatou que dois comitês do congresso dos EUA vão realizar audiências para ouvir sobre a falha de segurança, enquanto procuradores gerais em Nova Iorque, Illinois, Massachusetts, Connecticut e Pensilvânia também estão abrindo investigações estaduais sobre o incidente.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Faça seu login para melhorar sua experiência com o InfoQ e ter acesso a funcionalidades exclusivas


Esqueci minha senha

Follow

Siga seus tópicos e editores favoritos

Acompanhe e seja notificados sobre as mais importantes novidades do mundo do desenvolvimento de software.

Like

Mais interação, mais personalização

Crie seu próprio feed de novidades escolhendo os tópicos e pessoas que você gostaria de acompanhar.

Notifications

Fique por dentro das novidades!

Configure as notificações e acompanhe as novidades relacionada a tópicos, conteúdos e pessoas de seu interesse

BT