ITmedia NEWS > セキュリティ >
ニュース
» 2018年11月07日 10時25分 公開

「Apache Struts 2」のライブラリに脆弱性、直ちに更新を

「Commons FileUpload」については2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには古いバージョンのCommons FileUploadが使われていた。

[鈴木聖子,ITmedia]

 Apacheチームは11月5日、「Apache Struts 2」にデフォルトで組み込まれているファイルアップロード用ライブラリの脆弱性に関するセキュリティ情報を公開した。「Struts 2.3.36」のユーザーに対し、「Commons FileUpload」を直ちに最新バージョンの1.3.3に更新するよう促している。

 Apacheや米SANS Internet Storm Centerのセキュリティ情報によると、Commons FileUploadについては2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには、脆弱性を修正する前のバージョンであるCommons FileUpload 1.3.2が使われていたことが分かった。

photo Apacheのセキュリティ情報

 Struts 2ではデフォルトのファイルアップロード機能としてCommons FileUploadが使われており、この脆弱性を悪用されれば、リモートコード実行の攻撃を受ける恐れがあるという。

 攻撃を防ぐためには、Commons FileUploadのJARファイルを、手作業で更新版のJARファイルに置き換える必要がある。

 なお、Struts 2.5.12以降のバージョンには最新版のCommons FileUploadライブラリが組み込まれているという。

 SANSではCommons FileUploadについて、「この脆弱性のあるライブラリが他にも自分のシステム上に存在していないかどうか、ダブルチェックする必要がある。これを使っているのはStrutsだけではなく、他でもアップデートを怠っているケースがあるかもしれない」と警告している。

関連キーワード

Struts | 脆弱性 | Apache


Copyright © ITmedia, Inc. All Rights Reserved.