IPA(独立行政法人情報処理推進機構)技術本部セキュリティセンターは、「Apache Struts2」(以下、Struts 2)について、これまで発見された脆弱性とその対応情報をまとめ、一覧を11月14日に公開した。脆弱性の把握、パッチ適用、アップデートなどの適切な対応をとるよう、改めて呼びかけている。
Struts 2はWebアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されている。日本国内でも人気を博し、現在も多くのWebサイトで利用されている。
しかし、今年の前半に緊急度の高い脆弱性が相次いで報告される(ラック社の10月24日付けレポート)など、セキュリティ面での不安も浮き彫りになっている。IPAはそうした背景を鑑み、Webサイトの構築を手がけるシステム構築事業者(以下、SIer)に向けて、Struts 2についてこれまでに報告された脆弱性と、その対策情報をまとめた一覧を公開。構築あるいは運用保守中のシステムにStruts 2を使用している場合は、該当の脆弱性対策情報の有無を確認の上、必要に応じて修正パッチを適用してアップデートするなどの対応をとるよう、改めて呼び掛けている。
一覧に含まれている脆弱性は全部で43個。「任意のコードを実行される」「オブジェクト保護メカニズムを回避される」「アクセス制御を回避される」といった危険なものばかりだ。放置すると、情報漏えいなどの被害を受ける可能性もある。
公開されたApache Struts2の脆弱性情報一覧(出典:IPAのWebページ)
なお、2016年11月14日時点での最新バージョンは2.3.31および2.5.5。使用しているライブラリに関しても脆弱性の有無を確認する必要がある。
【関連リンク】
・IPA(情報処理推進機構)
・Apache Struts2 の脆弱性対策情報一覧
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
