(変更履歴……記事初出時以降に開発元のバージョン表記が変更されたため、記事内容を更新しました。)
Java WebアプリケーションフレームワークのApache Strutsで危険度「高」に分類される脆弱性が見つかり、開発元のApache Software Foundationが4月26日に情報を公開した。既に脆弱性を悪用する実証コードが公開され、攻撃が発生する恐れがあるという。
開発元や情報処理推進機構などによると、脆弱性はDMI(Dynamic Method Invocation)機能に起因する。悪用されれば、第三者などが遠隔から任意のコードを実行する可能性がある。影響を受けるのはバージョン2.3.20.3と2.3.24.3を除く、2.3.20〜2.3.28となっている。
Apache Software Foundationでは脆弱性を修正したバージョン2.3.20.3および2.3.24.3、2.3.28.1を公開。ユーザーに最新版の適用を呼び掛けている。また、一時的な回避策としてDMI機能の無効化もアドバイスしている。
警察庁によれば、27日未明頃からこの脆弱性を抱えたシステムを探す狙いがあるとみられるアクセスが多数観測されている。
関連記事
Apache Struts2にXSSの脆弱性、更新版が公開
脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。
Oracleの定例アップデート公開、データベースやJavaに深刻な脆弱性
特にDatabase ServerやFusion Middleware、Java SE、Solaris、MySQLの各製品に、危険度の高い脆弱性が存在する。
「Badlock」の脆弱性修正パッチ、SambaとMicrosoftが公開
悪用された場合、中間者攻撃やサービス妨害(DoS)攻撃攻撃を仕掛けられる恐れがある。
ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC
脆弱性の影響を受ける製品の調査やパッチ適用などの対応作業が煩雑になっている現状を踏まえ、IPAとSAMACが情報連携による作業効率化のための取り組みに着手する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.