Apache Struts2の更新版公開、早期アップデートを

ClassLoaderの不正操作につながる脆弱性が修正され、開発元ではアップデートの適用を強く推奨している。

[ITmedia]

　Apache Software Foundationは米国時間4月24日、Java WebアプリケーションフレームワークのApache Struts2の最新版となるStruts 2.3.16.2をリリースした。この更新版の適用を強く推奨している。

　Struts 2.3.16.2ではApache Struts 2.0.0〜2.3.16.1に存在するClassLoaderの不正操作につながる脆弱性が修正された。この脆弱性を悪用された場合、第三者が細工したリクエストをWebサーバに送りつけることでClassLoaderを不正操作され、情報流出や任意のコード実行につながる恐れがある。

　Apache Software Foundationによれば、Struts 2.3.16.2は最高品質の「General Availability」に位置付けられ、全ての開発者に対して適用するよう強く推奨している。

　早期の適用が難しい場合の回避策として情報処理推進機構では（1）paramsインターセプターへの参照を独自に記述している場合、excludeParamsを適切に設定する（2）defaultStackを使用している場合、excludeParamsを適切に設定したスタックを使用するよう変更する――を紹介している。

　なお、この脆弱性は既にサポートが終了したStruts1にも存在することが判明しているが、Struts1では修正版が提供されない。