
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>Dear IPT users,</div>

<div><br>

</div>

<div>This is an important message. </div>

<div><br>

</div>

<div>IPT administrators should update their IPTs to the new version 2.3.4 available for download

<a href="http://repository.gbif.org/content/groups/gbif/org/gbif/ipt/2.3.4/ipt-2.3.4.war">

here</a> [1], which has a security update.</div>

<div><br>

</div>

<div>Note this version requires Java8 to run and instructions on how to upgrade to this version can be found in the

<a href="https://github.com/gbif/ipt/wiki/IPTReleaseNotes233.wiki">Release Notes</a> [2].</div>

<div><br>

</div>

<div>The security update fixes a <a href=" https://struts.apache.org/docs/s2-045.html">

critical vulnerability</a> [3] that has been discovered in the Apache Struts web framework, which the IPT uses. </div>

<div><br>

</div>

<div>According to <a href="http://thehackernews.com/2017/03/apache-struts-framework.html">

this article</a> [4], this is a remote code execution vulnerability that could allow hackers to execute malicious commands on the IPT server. It also says that hackers are actively exploiting this vulnerability.</div>

<div><br>

</div>

<div>If you don't have time to update your IPT immediately, I would advise you to take it offline until you can.</div>

<div><br>

</div>

<div>Sincerely,</div>

<div><br>

</div>

<div>Kyle Braak</div>

<div><br>

</div>

<div>IPT Product Manager</div>

<div>GBIF Secretariat</div>

<div><br>

</div>

<div>[1] <a href="http://repository.gbif.org/content/groups/gbif/org/gbif/ipt/2.3.4/ipt-2.3.4.war">http://repository.gbif.org/content/groups/gbif/org/gbif/ipt/2.3.4/ipt-2.3.4.war</a></div>

<div>[2] <a href="https://github.com/gbif/ipt/wiki/IPTReleaseNotes233.wiki">https://github.com/gbif/ipt/wiki/IPTReleaseNotes233.wiki</a> </div>

<div>[3] <a href="https://struts.apache.org/docs/s2-045.html">https://struts.apache.org/docs/s2-045.html</a> </div>

<div>[4] <a href="http://thehackernews.com/2017/03/apache-struts-framework.html">http://thehackernews.com/2017/03/apache-struts-framework.html</a> </div>

<div><br>

</div>

<div><br>

</div>

</body>

</html>