Apache Struts2に脆弱性攻撃の恐れ、IPAが緊急勧告
Apache Struts 2.0.0〜2.3.16に存在する脆弱性の悪用コードが機能すると判明し、IPAは修正版への更新を呼び掛けている。
» 2014年04月17日 18時40分 公開
[ITmedia]
Apache Struts 2.0.0〜2.3.16に存在する脆弱性を悪用した攻撃コードの有効性が判明したとして、情報処理推進機構(IPA)は4月17日、ユーザーに至急対策を講じるよう呼び掛けた。
この脆弱性はClassLoaderに起因する。細工されたリクエストをWebサーバに送りつけることでClassLoaderが不正に操作され、特定のファイルが悪用されたり、情報が流出したりする恐れがある。さらに、特定のファイルが不正に操作されることによって任意のコードが実行される可能性もある。
IPAによれば、この脆弱性を悪用する攻撃コードが公開されており、IPAで再現検証をしたところ、Webアプリケーションの動作権限内で情報窃取や特定ファイルの操作、また、Webアプリケーションを一時的に使用不可にできることが確認されたという。
この脆弱性を修正したApache Struts 2.3.16.1が3月にリリースされており、IPAでは早急にアップデートするよう促している。
関連記事
- 最悪だったWeb改ざんとマルウェア感染攻撃をふりかえる・2013年まとめ
- Apache Struts2の脆弱性攻撃の検知が急上昇、ラックが注意喚起
- Apache狙いの攻撃横行、48カ国で2万超のWebサイトが感染か
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。