Apache Struts2の脆弱性 “完全修正版”は近日リリース

Apache Software Foundationでは完全修正版リリースまでの回避策の適用を強く推奨している。

[ITmedia]

　Apache Software Foundationは米国時間の4月24日、Java WebアプリケーションフレームワークのApache Struts2の最新版で修正したはずの脆弱性がまだ存在することを確認したと発表した。この脆弱性を“完全に”修正したバージョンは、早ければ米国時間の27日までに公開される見通し。それまでの回避策が紹介されている。

　Apache Software Foundationによると、Apache Struts 2.0.0〜2.3.16.1にはClassLoaderに起因する脆弱性が存在する。当初、この脆弱性は2.3.16.1で修正されたとしていたが、実際には不十分だったことが、三井物産セキュアディレクションなどの指摘で判明した。

　脆弱性が悪用された場合、細工されたリクエストをWebサーバに送りつけることでClassLoaderが不正に操作され、情報の流出や任意のコード実行につながる恐れがある。

　Apache Software Foundationは、修正版リリースまで（1）struts.xmlファイルのパラメータを変更する、(2）struts-default.xmlのdefaultStackを使用している場合にstruts-default.xmlを変更する――回避策の適用を強く推奨している。

　なお、この脆弱性は2013年4月5日にサポートが終了したStruts1にも存在するとされるが、Apache Software FoundationはStruts1での脆弱性対応について触れていない。Struts1では脆弱性が今後も放置されたままになる可能性が高いとみられる。