ニュース
「Apache Struts 2」の更新版公開、複数の脆弱性に対処
Struts 2.5.14までのバージョンに脆弱性があり、不正なリクエストを使ってサービス妨害(DoS)攻撃を仕掛けられる恐れがある。
Java Webアプリケーションフレームワーク「Apache Struts 2」の更新版がリリースされ、複数の脆弱性が修正された。
Apache Software Foundationが12月1日付で公開したセキュリティ情報によると、Struts 2.5.14までのバージョンに、JSONライブラリの問題に起因する複数の脆弱性が存在する。
脆弱性は、Struts RESTプラグインで古いJSON-libライブラリが使われていることなどに原因がある。この問題を悪用すれば、不正なリクエストを使ってサービス妨害(DoS)攻撃を仕掛けることが可能とされる。危険度は中程度と評価している。
この問題は、更新版のStruts 2.5.14.1で修正された。米セキュリティ機関のUS-CERTは、悪用されればリモートの攻撃者にシステムを制御される恐れもあるとして、ユーザーや管理者に対して更新版の適用を促している。
関連記事
- OracleやCisco、Apache Strutsの脆弱性に関する臨時セキュリティ情報を公開
米Oracleや米Ciscoが臨時のセキュリティ情報を公開。Apache Strutsの脆弱性に対処した。 - 米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。 - Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。 - Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用
1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.