Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

ラックも警告、Apache Struts 2の脆弱性「S2-037」は深刻で、任意のコードが実行される恐れ

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/06/20 18:27

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)と、コンピュータセキュリティ企業のラックは、JavaのWebアプリケーションフレームワーク「Apache Struts 2」に、任意のOSコマンドが実行できる危険な脆弱性「S2-037」があり、早期に対応することを強く呼びかけている。

 脆弱性S2-037は、CodeZineで本日既報のApache Struts 2に関する脆弱性のうち「Apache Strutsにおいて任意のコードを実行可能な脆弱性」に当たるもので、大変危険性が高い。IPAセキュリティセンターやJPCERT/CCに加え、ラックも警告を発した。

 JPCERT/CCによれば、脆弱性S2-037はApache Struts 2でREST Plugin(Struts 2上で稼働するアプリケーションにRESTサービスを実装するためのプラグイン)を使用している場合に存在し、遠隔の攻撃者がこの脆弱性を悪用するように細工したHTTPリクエストを送信することで、Apache Struts 2 を使用するアプリケーションを実行しているサーバにおいて、任意のコードが実行される可能性があるという。

 また、ラックによれば、以前に公開された脆弱性「S2-033」との関係がこの脆弱性の深刻度を高めているという。同社では脆弱性S2-033の回避策として有効とされた「DMIの無効化」による対応では防げない攻撃方法を発見。利用者保護を優先し、Apache Software Foundationに通知した。この問題はすでに脆弱性S2-037として認識番号が設定されていたが、この脆弱性を悪用するサンプルコードが海外の掲示板に掲載されたことにより、深刻度が大きく高まった。

 JPCERT/CCでも、公開されている本脆弱性の実証コードを用いて検証した結果、Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意のコードが実行されることを確認したと述べている。

 該当するバージョンは、Apache Struts 2.3.20~2.3.28.1。ラックは「すでに攻撃手段が公開されている脆弱性の対策は、バージョンアップしかない」とし、JPCERT/CCも「本脆弱性を修正したバージョンが公開されている。十分なテストを実施の上、修正済みバージョン(Apache Struts 2.3.29)を適用することを強くお勧めする」と、至急の対応を呼びかけている。

【関連リンク】
ラック「Apache Struts 2に含まれる深刻な脆弱性「S2-037」について」
JPCERT/CC「Apache Struts 2の脆弱性(S2-037)に関する注意喚起」

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
All contents copyright © 2005-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5