情報処理推進機構(IPA)のセキュリティセンターは、Apache Struts2の脆弱性について、24日に改めて注意を喚起するとともに、その対策についても解説している。
Apache Strutsは、Apache Software Foundationが提供しているJavaのWebアプリケーションを作成するためのソフトウェアフレームワーク。Apache Strutsのバージョン2.0.0~2.3.16には、ClassLoaderを操作される脆弱性が存在する。3月には対策を施したバージョン2.3.16.1が公開されている。
この脆弱性を攻撃するコードが公開されているという情報提供を受けて、IPAが再現検証を行った結果、Webアプリケーションの動作権限内での情報の窃取や特定ファイルの操作、ウェブアプリケーションの一時的な無効化ができると確認した。攻撃者が作成したファイルにJavaコードが含まれている場合、任意のコードを実行される可能性がある。
さらに、同様の脆弱性がApache Struts 1系にも存在する。Apache Struts 1系は2013年4月にサポートを終了しており、修正プログラムが提供されない可能性が高い。IPAでは、サポートが継続されているサーバソフトウェアでのWebアプリケーションの再構築を求めている。
なお、脆弱性の対策済みといわれているバージョン2.3.16.1には、対策漏れが存在するという情報が存在するため、別途WAFやIPSなどのネットワーク機器による、攻撃リクエストの遮断が望ましい。
【関連リンク】
・情報処理推進機構
・「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)」
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
