一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)と、コンピュータセキュリティ企業のラックは、JavaのWebアプリケーションフレームワーク「Apache Struts 2」に、任意のOSコマンドが実行できる危険な脆弱性「S2-037」があり、早期に対応することを強く呼びかけている。
脆弱性S2-037は、CodeZineで本日既報のApache Struts 2に関する脆弱性のうち「Apache Strutsにおいて任意のコードを実行可能な脆弱性」に当たるもので、大変危険性が高い。IPAセキュリティセンターやJPCERT/CCに加え、ラックも警告を発した。
JPCERT/CCによれば、脆弱性S2-037はApache Struts 2でREST Plugin(Struts 2上で稼働するアプリケーションにRESTサービスを実装するためのプラグイン)を使用している場合に存在し、遠隔の攻撃者がこの脆弱性を悪用するように細工したHTTPリクエストを送信することで、Apache Struts 2 を使用するアプリケーションを実行しているサーバにおいて、任意のコードが実行される可能性があるという。
また、ラックによれば、以前に公開された脆弱性「S2-033」との関係がこの脆弱性の深刻度を高めているという。同社では脆弱性S2-033の回避策として有効とされた「DMIの無効化」による対応では防げない攻撃方法を発見。利用者保護を優先し、Apache Software Foundationに通知した。この問題はすでに脆弱性S2-037として認識番号が設定されていたが、この脆弱性を悪用するサンプルコードが海外の掲示板に掲載されたことにより、深刻度が大きく高まった。
JPCERT/CCでも、公開されている本脆弱性の実証コードを用いて検証した結果、Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意のコードが実行されることを確認したと述べている。
該当するバージョンは、Apache Struts 2.3.20~2.3.28.1。ラックは「すでに攻撃手段が公開されている脆弱性の対策は、バージョンアップしかない」とし、JPCERT/CCも「本脆弱性を修正したバージョンが公開されている。十分なテストを実施の上、修正済みバージョン(Apache Struts 2.3.29)を適用することを強くお勧めする」と、至急の対応を呼びかけている。
【関連リンク】
・ラック「Apache Struts 2に含まれる深刻な脆弱性「S2-037」について」
・JPCERT/CC「Apache Struts 2の脆弱性(S2-037)に関する注意喚起」
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
