Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。
Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱(ぜいじゃく)性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。
今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。
脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れがある。
Semmleではこの脆弱性を突くコードも開発したが、現時点で公開はしていない。9月5日現在、攻撃コードの公開は確認されていないものの、すぐにも出現する公算が大きいとしている。
Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65%で利用され、航空会社の予約システムや金融機関のインターネットバンキングアプリなど、一般向けの多数のWebアプリケーションにも使われているという。
「攻撃者はいとも簡単にこの脆弱性を悪用できる。必要なのはWebブラウザのみ」とSemmleの研究者は解説し、Strutsを使っている組織は直ちに対処するよう促した。
更新版のStruts 2.5.13では、他にもサービス妨害(DoS)の脆弱性など2件が修正されている。
関連記事
- Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用
1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという。 - Webサイトを守るために企業が実施すべき対策とは?
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。 - B.LEAGUEチケットサイトなどから個人情報のべ15万件超が流出の恐れ Apache Struts2の脆弱性が原因
ぴあが運営を受託していたプロバスケットボールリーグ「B.LEAGUE」のチケットサイトとファンクラブ受付サイトに不正アクセスがあった。個人情報のべ15万件超が流出した可能性があり、クレジットカード番号とセキュリティコードも3万2000件あまりが盗まれた可能性がある。 - 国交省の土地総合情報システムから個人情報4000件強が流出 Apache Struts2が原因
国土交通省が「土地総合情報システム」の「不動産取引価格アンケート回答(電子回答)」サイトに不正なアクセスがあったことを明らかにした。「Apache Struts2」の脆弱(ぜいじゃく)性を利用して、悪意のあるプログラムが仕込まれていた。 - GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性
GMOペイメントゲートウェイが提供する決済サービスに不正アクセスがあり、東京都の都税クレジットカードお支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトから、クレジットカードなどの情報約72万件が流出した可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.