Apache Struts 2 の脆弱性(CVE-2017-9791)

Apache Software Foundation は、2017年7月7日 (米国時間) に ApacheStruts 2 の脆弱性 (CVE-2017-9791) に関する情報をリリースしました。
2.3 系の Apache Struts 2 に含まれる Struts 1 Plugin を用いているStruts アプリケーションにおいて、入力値を適切に処理しなかった場合にいおいて、本脆弱性を悪用された場合、リモートから攻撃者が、Apache Struts 2 が動作するサーバにおいて任意のコードを実行できる可能性があります。

【対象】

次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

- Apache Struts 2
- 2.3 系列

【対策】

Apache Software Foundation からは、回避策として入力値を適切に処理することが示されています。
showcase 内の Struts アプリケーションの修正方法として、ActionMessageクラスを用いた処理において、リソースキーを使用する方法が回避策として示されています。

参考情報
    Apache Struts 2 Documentation
    S2-048 : Possible RCE in the Struts Showcase app in the Struts 1 plugin example in Struts 2.3.x series
    https://struts.apache.org/docs/s2-048.html

    Apache Struts 2 Documentation
    Struts 1 Plugin
    https://struts.apache.org/docs/struts-1-plugin.html

ApacheStruts 2 の脆弱性は今春、日本国内でも非常に多くの被害が出ました。それだけフレームワークとして利用していた企業が多かったからです。このような利用者が多い脆弱性を攻撃してくるのは常套手段であり、OSなども同じ理由で攻撃されています。特に社会的影響が大きいものからまずは脆弱性に対して対策するようにしましょう。

詳細;JPCERT/CC
<