脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。
Java WebアプリケーションフレームワークのApache Strutsに複数の脆弱性がみつかり、情報処理推進機構(IPA)やJPCERT コーディネーションセンターが6月20日付でユーザーに注意を呼び掛けた。対策は、脆弱性が修正された最新版の適用となっている。
脆弱性は任意のサービス実行、サービス妨害(DoS)、クロスサイトリクエストフォージェリ(CSRF)、Getterメソッドにおける検証回避、入力値検証の回避の全5件あり、Apache Struts 2.3.20から2.3.28.1までが影響を受ける。また、DoSの脆弱性についてはApache Struts 2.5にも影響が及ぶ。既にサポートが終了しているApache Struts 1への影響は不明。
特に任意のサービス実行につながる脆弱性(S2-037/CVE-2016-4438)は、既に実証コードが公開されており、実際に攻撃が発生する恐れがある。JPCERT コーディネーションセンターによれば、細工したHTTPリクエストを攻撃者が送信することで、Strutsのアプリケーションを実行しているサーバ上で任意のコードが実行される可能性があり、実証コードが機能することも確認された。
CSRF、Getterメソッドにおける検証回避、入力値検証の回避の脆弱性は悪用された場合、遠隔の第三者によってユーザーが意図しない操作をさせられたり、外部のURLにリダイレクトされたりするほか、細工されたデータを登録されたりする可能性もある。
開発元のApache Software Foundationは、これらの脆弱性を修正したバージョン2.3.29を公開。DoSの脆弱性についてはバージョン2.5.1も併せて公開し、ユーザーに適用を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.