SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

CodeZineニュース

IPA、Apache Struts2の脆弱性に対する注意を改めて喚起

  • X ポスト
  • このエントリーをはてなブックマークに追加

  • X ポスト
  • このエントリーをはてなブックマークに追加

 情報処理推進機構(IPA)のセキュリティセンターは、Apache Struts2の脆弱性について、24日に改めて注意を喚起するとともに、その対策についても解説している。

 Apache Strutsは、Apache Software Foundationが提供しているJavaのWebアプリケーションを作成するためのソフトウェアフレームワーク。Apache Strutsのバージョン2.0.0~2.3.16には、ClassLoaderを操作される脆弱性が存在する。3月には対策を施したバージョン2.3.16.1が公開されている。

 この脆弱性を攻撃するコードが公開されているという情報提供を受けて、IPAが再現検証を行った結果、Webアプリケーションの動作権限内での情報の窃取や特定ファイルの操作、ウェブアプリケーションの一時的な無効化ができると確認した。攻撃者が作成したファイルにJavaコードが含まれている場合、任意のコードを実行される可能性がある。

 さらに、同様の脆弱性がApache Struts 1系にも存在する。Apache Struts 1系は2013年4月にサポートを終了しており、修正プログラムが提供されない可能性が高い。IPAでは、サポートが継続されているサーバソフトウェアでのWebアプリケーションの再構築を求めている。

 なお、脆弱性の対策済みといわれているバージョン2.3.16.1には、対策漏れが存在するという情報が存在するため、別途WAFやIPSなどのネットワーク機器による、攻撃リクエストの遮断が望ましい。


【関連リンク】
情報処理推進機構
「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)」

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/7756 2014/04/25 17:02

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング