ニュース
» 2014年04月17日 18時40分 UPDATE

Apache Struts2に脆弱性攻撃の恐れ、IPAが緊急勧告

Apache Struts 2.0.0〜2.3.16に存在する脆弱性の悪用コードが機能すると判明し、IPAは修正版への更新を呼び掛けている。

[ITmedia]
ipa0417.jpg 攻撃イメージ(IPAより)

 Apache Struts 2.0.0〜2.3.16に存在する脆弱性を悪用した攻撃コードの有効性が判明したとして、情報処理推進機構(IPA)は4月17日、ユーザーに至急対策を講じるよう呼び掛けた。

 この脆弱性はClassLoaderに起因する。細工されたリクエストをWebサーバに送りつけることでClassLoaderが不正に操作され、特定のファイルが悪用されたり、情報が流出したりする恐れがある。さらに、特定のファイルが不正に操作されることによって任意のコードが実行される可能性もある。

 IPAによれば、この脆弱性を悪用する攻撃コードが公開されており、IPAで再現検証をしたところ、Webアプリケーションの動作権限内で情報窃取や特定ファイルの操作、また、Webアプリケーションを一時的に使用不可にできることが確認されたという。

 この脆弱性を修正したApache Struts 2.3.16.1が3月にリリースされており、IPAでは早急にアップデートするよう促している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -