「Apache Struts 2」に深刻な脆弱性

「Apache Struts 2」に深刻な脆弱性があることが報告されています。「Apache Struts 2」はWebアプリケーションのフレームワークの機能を持つもので、多くのシステム開発、ベンダー製品に採用されており、最近では都税のクレジット決済会社が採用していたところ、悪意ある攻撃者に脆弱性を突かれ、67万件に上る個人情報が漏洩しています。

脆弱性の性質は脆弱性「CVE-2017-5638」で報告されいますが、リモートよりコードが実行可能になるものです。脆弱性を悪用することで容易にサーバへ侵入が可能ということです。

すでにApache Software Foundationでは、脆弱性へ対処した「同2.3.32」「同2.5.10.1」をリリースしており、また「Jakartaマルチパートパーサー」以外のマルチパートパーサーを実装することで脆弱性の悪用を回避できると発表しています。


【影響を受けるバージョン】

•Apache Struts 2.3.5 から 2.3.31

•Apache Struts 2.5 から 2.5.10
Apache Struts 1 への影響は現在のところ不明です。

【Apache Struts 2 系のバージョンの確認方法】


Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。
※ 2.x.x.x の部分が、利用している Struts 2 のバージョンです。

【対策】
脆弱性対応バージョンをダウンロードしてください。
Download a Release of Apache Struts
http://struts.apache.org/download.cgi#struts25101

この脆弱性はシステムベンダーが利用するツールのものですので一般ユーザーは注意することは不可能ですが、IDやパスワードをほかのアカウントと使いまわししていると、他アカウントにも影響が出る恐れがあります。ユーザーとしてはパスワードの管理をしっかりとしておきましょう。

<