「Apache Struts 2.3.15.2」では脆弱性が指摘されていたDMIの機能をデフォルトで無効にする措置を講じた。
オープンソースのWebアプリケーション構築フレームワークApache Strutsの更新版となる「Apache Struts 2.3.15.2」が9月20日付でリリースされた。複数の脆弱性が修正されており、直ちにアップデートするよう強く促している。
Apache Strutsのプロジェクトサイトによると、Struts 2.3.15.2では脆弱性が指摘されていた「Dynamic Method Invocation」(DMI)の機能をデフォルトで無効にする措置を講じた。
ただし、DMIを多用している場合は今回のアップデートによってアプリケーションに問題が生じる恐れもあるといい、DMIを避けてアプリケーションのリファクタリングを検討してほしいと呼び掛けている。
また、Struts 2のActionマッピング機能に関連して、特定の状況下でセキュリティ制限をかわされる恐れのある脆弱性も修正された。いずれも危険度は「重要」と評価されている。
Copyright © ITmedia, Inc. All Rights Reserved.