Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

IPAとJPCERT/CC、Apache Struts 2に関する3件の脆弱性を公表、ユーザーにアップデートを呼びかけ

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/06/20 16:05

 IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月20日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」に関する3件の脆弱性を、JVN(Japan Vulnerability Notes)において公表。ユーザーにアップデートなどの対応を呼びかけている。

 JVNで公表された脆弱性は次のとおり。

Apache Struts 2における複数の脆弱性

 Apache Struts 2.3.20~2.3.28.1には、次の脆弱性が存在している。

  • クロスサイトリクエストフォージェリ(CVE-2016-4430)
  • Getterメソッドにおける検証回避(CVE-2016-4433)
  • 入力値検証の回避(CVE-2016-4431)

 この脆弱性を利用して、遠隔の第三者によってユーザが意図しない操作をさせられたり、外部のURLにリダイレクトされたり、細工されたデータを登録されたりする可能性がある。

 詳細:https://jvn.jp/jp/JVN45093481/index.html

Apache Strutsにおけるサービス運用妨害 (DoS) の脆弱性

 Apache Struts 2.3.20~2.3.28.1、ならびにApache Struts 2.5を使用して開発されたWebアプリケーションには、URLValidator に関するサービス運用妨害 (DoS) の脆弱性が存在する。これを悪用する遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性がある。

 詳細:https://jvn.jp/jp/JVN12352818/index.html

Apache Strutsにおいて任意のコードを実行可能な脆弱性

 Apache Struts 2.3.20~2.3.28.1の「REST Plugin」を使用して開発されたWeb アプリケーションには、任意のコードを実行可能な脆弱性が存在する。本脆弱性を使用した攻撃コードがすでに公開されており、遠隔の第三者によって、任意のコードを実行される可能性がある。

 詳細:https://jvn.jp/jp/JVN07710476/index.html

 JPCERT/CCでは、開発者が提供する情報をもとに最新版へアップデートしてほしいと呼びかけている。

【関連リンク】
JVN JP一覧(IPAとJPCERT/CCが公開している脆弱性一覧)
JPCERTコーディネーションセンター
IPAセキュリティセンター

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
All contents copyright © 2005-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5