Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

APACHE

Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache Struts2 には、任意のコードが実行可能な脆弱性 (S2-052) が存在します。

影響を受けるシステム

  • Struts 2.1.2 から Struts 2.3.33 まで
  • Struts 2.5 から Struts 2.5.12 まで

詳細情報

Apache Struts2 には、Struts REST プラグインを使用している場合に XML ペイロードのデシリアライズ処理に起因する、任意のコードが実行可能となる脆弱性が存在します。

想定される影響

遠隔の第三者によって細工されたリクエストを処理することで、任意のコードを実行される可能性があります。

対策方法

  • アップデートする。
    本脆弱性が修正されたバージョン (Struts 2.5.13 および Struts 2.3.34) へアップデートする。
    なお、上記のバージョンには S2-050、S2-051 に対する修正も含まれています。
  • ワークアラウンドを実施する。
    ベンダは以下のワークアラウンドを提示しています。
    No workaround is possible, the best option is to remove the Struts REST plugin when not used or limit it to server normal pages and JSONs only:
    <constant name="struts.action.extension" value="xhtml,,json" />

備考

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)