Apache Struts2 の脆弱性 (CVE-2017-9805)(S2-052)

Java のウェブアプリケーションのソフトウェアフレームワーク「Apache Software Foundation」 が提供するApache Struts 2 には、REST プラグインを使用している場合に XML リクエストの処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-9805)が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

【影響を受ける範囲】

  • Struts 2.1.2 から Struts 2.3.33, Struts 2.5 から Struts 2.5.12

※Apache Struts 1 への影響は把握しておりません。

「Apache Struts 1」は既に2013年4月5日を以ってサポートが終了しています。
一般的にサポートが終了した製品は脆弱性が判明した場合でも脆弱性対策の修正対応は実施されず、影響等の情報も公開されません。サポート終了しているサービスをご利用の場合は利用を停止し、早急に最新版への移行をご検討ください。

【対策】

最新版へのアップデート

開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。

Download a Release of Apache Struts - Struts 2.5.13
https://struts.apache.org/download.cgi#struts2513別ウィンドウで開く 
Download a Release of Apache Struts - Struts 2.3.34
https://struts.apache.org/download.cgi#struts-23x別ウィンドウで開く 

Apache Struts 2の脆弱性は本年に入ってから、度々、ゼロディ攻撃を受けており、甚大な被害も報告されています。利用者が多い、フレームワークは脆弱性を探して攻撃の対象になりやすい傾向にあります。特に内部向けではなく顧客向けのサービスに利用している場合は脆弱性情報に敏感になり、常に最新版にアップデートするように心がけてください。

詳細;IPA

<