「Apache Struts 2」の更新版公開、複数の脆弱性に対処

[鈴木聖子，ITmedia]

　Java Webアプリケーションフレームワーク「Apache Struts 2」の更新版がリリースされ、複数の脆弱性が修正された。

　Apache Software Foundationが12月1日付で公開したセキュリティ情報によると、Struts 2.5.14までのバージョンに、JSONライブラリの問題に起因する複数の脆弱性が存在する。

「Apache Struts 2」の脆弱性について、US-CERTが説明。悪用されれば、リモートの攻撃者にシステムを制御される恐れもある

　脆弱性は、Struts RESTプラグインで古いJSON-libライブラリが使われていることなどに原因がある。この問題を悪用すれば、不正なリクエストを使ってサービス妨害（DoS）攻撃を仕掛けることが可能とされる。危険度は中程度と評価している。

　この問題は、更新版のStruts 2.5.14.1で修正された。米セキュリティ機関のUS-CERTは、悪用されればリモートの攻撃者にシステムを制御される恐れもあるとして、ユーザーや管理者に対して更新版の適用を促している。