ニュース
» 2014年04月28日 12時53分 UPDATE

Apache Struts2の更新版公開、早期アップデートを

ClassLoaderの不正操作につながる脆弱性が修正され、開発元ではアップデートの適用を強く推奨している。

[ITmedia]

 Apache Software Foundationは米国時間4月24日、Java WebアプリケーションフレームワークのApache Struts2の最新版となるStruts 2.3.16.2をリリースした。この更新版の適用を強く推奨している。

 Struts 2.3.16.2ではApache Struts 2.0.0〜2.3.16.1に存在するClassLoaderの不正操作につながる脆弱性が修正された。この脆弱性を悪用された場合、第三者が細工したリクエストをWebサーバに送りつけることでClassLoaderを不正操作され、情報流出や任意のコード実行につながる恐れがある。

 Apache Software Foundationによれば、Struts 2.3.16.2は最高品質の「General Availability」に位置付けられ、全ての開発者に対して適用するよう強く推奨している。

 早期の適用が難しい場合の回避策として情報処理推進機構では(1)paramsインターセプターへの参照を独自に記述している場合、excludeParamsを適切に設定する(2)defaultStackを使用している場合、excludeParamsを適切に設定したスタックを使用するよう変更する――を紹介している。

 なお、この脆弱性は既にサポートが終了したStruts1にも存在することが判明しているが、Struts1では修正版が提供されない。

関連キーワード

Struts | Apache | 脆弱性


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ