IPA、Apache Struts2の脆弱性に対する注意を改めて喚起

CodeZine / 2014年4月25日 17時2分

 情報処理推進機構(IPA)のセキュリティセンターは、Apache Struts2の脆弱性について、24日に改めて注意を喚起するとともに、その対策についても解説している。

 Apache Strutsは、Apache Software Foundationが提供しているJavaのWebアプリケーションを作成するためのソフトウェアフレームワーク。Apache Strutsのバージョン2.0.0~2.3.16には、ClassLoaderを操作される脆弱性が存在する。3月には対策を施したバージョン2.3.16.1が公開されている。

 この脆弱性を攻撃するコードが公開されているという情報提供を受けて、IPAが再現検証を行った結果、Webアプリケーションの動作権限内での情報の窃取や特定ファイルの操作、ウェブアプリケーションの一時的な無効化ができると確認した。攻撃者が作成したファイルにJavaコードが含まれている場合、任意のコードを実行される可能性がある。

 さらに、同様の脆弱性がApache Struts 1系にも存在する。Apache Struts 1系は2013年4月にサポートを終了しており、修正プログラムが提供されない可能性が高い。IPAでは、サポートが継続されているサーバソフトウェアでのWebアプリケーションの再構築を求めている。

 なお、脆弱性の対策済みといわれているバージョン2.3.16.1には、対策漏れが存在するという情報が存在するため、別途WAFやIPSなどのネットワーク機器による、攻撃リクエストの遮断が望ましい。


CodeZine

トピックスRSS

ランキング