CodeZine(コードジン)

特集ページ一覧

IPA、Apache Struts2の脆弱性に対する注意を改めて喚起

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2014/04/25 17:02

 情報処理推進機構(IPA)のセキュリティセンターは、Apache Struts2の脆弱性について、24日に改めて注意を喚起するとともに、その対策についても解説している。

 Apache Strutsは、Apache Software Foundationが提供しているJavaのWebアプリケーションを作成するためのソフトウェアフレームワーク。Apache Strutsのバージョン2.0.0~2.3.16には、ClassLoaderを操作される脆弱性が存在する。3月には対策を施したバージョン2.3.16.1が公開されている。

 この脆弱性を攻撃するコードが公開されているという情報提供を受けて、IPAが再現検証を行った結果、Webアプリケーションの動作権限内での情報の窃取や特定ファイルの操作、ウェブアプリケーションの一時的な無効化ができると確認した。攻撃者が作成したファイルにJavaコードが含まれている場合、任意のコードを実行される可能性がある。

 さらに、同様の脆弱性がApache Struts 1系にも存在する。Apache Struts 1系は2013年4月にサポートを終了しており、修正プログラムが提供されない可能性が高い。IPAでは、サポートが継続されているサーバソフトウェアでのWebアプリケーションの再構築を求めている。

 なお、脆弱性の対策済みといわれているバージョン2.3.16.1には、対策漏れが存在するという情報が存在するため、別途WAFやIPSなどのネットワーク機器による、攻撃リクエストの遮断が望ましい。


【関連リンク】
情報処理推進機構
「Apache Struts2 の脆弱性対策について(CVE-2014-0094)(S2-020)」

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5