「Apache Struts 2」のライブラリに脆弱性、直ちに更新を
Apacheチームは11月5日、「Apache Struts 2」にデフォルトで組み込まれているファイルアップロード用ライブラリの脆弱性に関するセキュリティ情報を公開した。「Struts 2.3.36」のユーザーに対し、「Commons FileUpload」を直ちに最新バージョンの1.3.3に更新するよう促している。
Apacheや米SANS Internet Storm Centerのセキュリティ情報によると、Commons FileUploadについては2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには、脆弱性を修正する前のバージョンであるCommons FileUpload 1.3.2が使われていたことが分かった。
Struts 2ではデフォルトのファイルアップロード機能としてCommons FileUploadが使われており、この脆弱性を悪用されれば、リモートコード実行の攻撃を受ける恐れがあるという。
攻撃を防ぐためには、Commons FileUploadのJARファイルを、手作業で更新版のJARファイルに置き換える必要がある。
なお、Struts 2.5.12以降のバージョンには最新版のCommons FileUploadライブラリが組み込まれているという。
SANSではCommons FileUploadについて、「この脆弱性のあるライブラリが他にも自分のシステム上に存在していないかどうか、ダブルチェックする必要がある。これを使っているのはStrutsだけではなく、他でもアップデートを怠っているケースがあるかもしれない」と警告している。
関連記事
「Apache Struts 2」に重大な脆弱性、直ちに更新を
「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。
「Apache Struts 2」の脆弱性、仮想通貨採掘攻撃に悪用される
「企業はこれまで以上に警戒を強め、影響を受けるシステムには直ちにパッチを適用しなければならない」とF5は呼び掛けている。
Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。
IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘
「IoTボットネットがパッチのバージョンが古いエンタープライズデバイスを狙う傾向を強めている」とPalo Alto Networksは指摘する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。