ニュース
» 2016年06月20日 16時14分 UPDATE

Apache Strutsに複数の脆弱性、攻撃実証コードも公開

脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。

[ITmedia]

 Java WebアプリケーションフレームワークのApache Strutsに複数の脆弱性がみつかり、情報処理推進機構(IPA)やJPCERT コーディネーションセンターが6月20日付でユーザーに注意を呼び掛けた。対策は、脆弱性が修正された最新版の適用となっている。

 脆弱性は任意のサービス実行、サービス妨害(DoS)、クロスサイトリクエストフォージェリ(CSRF)、Getterメソッドにおける検証回避、入力値検証の回避の全5件あり、Apache Struts 2.3.20から2.3.28.1までが影響を受ける。また、DoSの脆弱性についてはApache Struts 2.5にも影響が及ぶ。既にサポートが終了しているApache Struts 1への影響は不明。

 特に任意のサービス実行につながる脆弱性(S2-037/CVE-2016-4438)は、既に実証コードが公開されており、実際に攻撃が発生する恐れがある。JPCERT コーディネーションセンターによれば、細工したHTTPリクエストを攻撃者が送信することで、Strutsのアプリケーションを実行しているサーバ上で任意のコードが実行される可能性があり、実証コードが機能することも確認された。

JPCERT コーディネーションセンターによる実証コードの検証結果

 CSRF、Getterメソッドにおける検証回避、入力値検証の回避の脆弱性は悪用された場合、遠隔の第三者によってユーザーが意図しない操作をさせられたり、外部のURLにリダイレクトされたりするほか、細工されたデータを登録されたりする可能性もある。

 開発元のApache Software Foundationは、これらの脆弱性を修正したバージョン2.3.29を公開。DoSの脆弱性についてはバージョン2.5.1も併せて公開し、ユーザーに適用を呼び掛けている。

対策はバージョン2.3.29(DoSの脆弱性はバージョン2.5.1も)の適用になる

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ