Apache Struts2 に任意のコードが実行可能な脆弱性

APACHE

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache Struts2 には任意のコードが実行可能な脆弱性が存在します。

影響を受けるシステム

Struts 2.3 系列: Struts 2.3.35 より前のバージョン

Struts 2.5 系列: Struts 2.5.17 より前のバージョン

詳細情報

Apache Struts2 にはユーザ入力の不十分な検証に起因する、任意のコードが実行可能な脆弱性が存在します。
詳細はベンダが提供する情報を参照してください。

なお、本脆弱性の攻撃コードが公開されています。

想定される影響

遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする

開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性の修正を行ったバージョンとして Struts 2.3.35 および Struts 2.5.17 が公開されています。


ワークアラウンドを実施する

次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する
ただし、Apache Software Foundation はワークアラウンドの実施よりもアップデートの実施を強く推奨しています。

備考

最終更新日

2018.08.24

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)