IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月20日、JavaのWebアプリケーションフレームワーク「Apache Struts 2」に関する3件の脆弱性を、JVN(Japan Vulnerability Notes)において公表。ユーザーにアップデートなどの対応を呼びかけている。
JVNで公表された脆弱性は次のとおり。
Apache Struts 2における複数の脆弱性
Apache Struts 2.3.20~2.3.28.1には、次の脆弱性が存在している。
- クロスサイトリクエストフォージェリ(CVE-2016-4430)
- Getterメソッドにおける検証回避(CVE-2016-4433)
- 入力値検証の回避(CVE-2016-4431)
この脆弱性を利用して、遠隔の第三者によってユーザが意図しない操作をさせられたり、外部のURLにリダイレクトされたり、細工されたデータを登録されたりする可能性がある。
詳細:https://jvn.jp/jp/JVN45093481/index.html
Apache Strutsにおけるサービス運用妨害 (DoS) の脆弱性
Apache Struts 2.3.20~2.3.28.1、ならびにApache Struts 2.5を使用して開発されたWebアプリケーションには、URLValidator に関するサービス運用妨害 (DoS) の脆弱性が存在する。これを悪用する遠隔の第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性がある。
詳細:https://jvn.jp/jp/JVN12352818/index.html
Apache Strutsにおいて任意のコードを実行可能な脆弱性
Apache Struts 2.3.20~2.3.28.1の「REST Plugin」を使用して開発されたWeb アプリケーションには、任意のコードを実行可能な脆弱性が存在する。本脆弱性を使用した攻撃コードがすでに公開されており、遠隔の第三者によって、任意のコードを実行される可能性がある。
詳細:https://jvn.jp/jp/JVN07710476/index.html
JPCERT/CCでは、開発者が提供する情報をもとに最新版へアップデートしてほしいと呼びかけている。
【関連リンク】
・JVN JP一覧(IPAとJPCERT/CCが公開している脆弱性一覧)
・JPCERTコーディネーションセンター
・IPAセキュリティセンター
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
