Apache Strutsに重大な脆弱性、直ちに更新を

2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。

» 2017年09月06日 08時00分 公開
[鈴木聖子ITmedia]

 Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。

Apache Strutsの最新バージョンで脆弱性を修正 Apache Struts 2.5.13を公開し、脆弱性を修正

 今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。

 脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れがある。

 Semmleではこの脆弱性を突くコードも開発したが、現時点で公開はしていない。9月5日現在、攻撃コードの公開は確認されていないものの、すぐにも出現する公算が大きいとしている。

 Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65%で利用され、航空会社の予約システムや金融機関のインターネットバンキングアプリなど、一般向けの多数のWebアプリケーションにも使われているという。

 「攻撃者はいとも簡単にこの脆弱性を悪用できる。必要なのはWebブラウザのみ」とSemmleの研究者は解説し、Strutsを使っている組織は直ちに対処するよう促した。

 更新版のStruts 2.5.13では、他にもサービス妨害(DoS)の脆弱性など2件が修正されている。

lgtm.comのブログ Strutsの脆弱性について解説するlgtm.comのブログ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ