Java WebアプリケーションフレームワークのApache Struts2で、2件のクロスサイトスクリプティング(XSS)の脆弱性が報告され、これを解決した更新版が8月26日に公開された。
開発元のApache Software Foundationによると、Apache Struts 2.0.0〜2.3.16.3ではdevModeが有効な場合および、本番環境などJSPファイルに直接アクセス可能な状態で脆弱性を突かれ、任意のスクリプトが実行されてしまう恐れがある。
この脆弱性を解決した更新版はApache Struts 2.3.20。ユーザーに更新版の適用を推奨している。また、devModeの無効化やJSPファイルのWEB-INFフォルダ内への移動といった回避策も紹介されている。
関連記事
- BIND 9の緊急パッチ公開、DoSの脆弱性を複数修正
脆弱性は2件あり、うち1件はバージョン9.0.0以降の全てに影響する。 - Androidに新たな脆弱性報告、端末操作に影響
悪質アプリや細工を施したWebサイトを使って悪用されれば、着信音や通知音が出なくなって通話もできなくなり、画面も反応しなくなる恐れがあるという。 - OpenSSL、深刻な脆弱性を修正した更新版公開
攻撃者が代替チェーン証明書を偽造できてしまう恐れがあり、通信の傍受やデータの改ざんなどの攻撃に利用される可能性がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.