平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。
概要
Apache Struts2 には任意のコードが実行可能な脆弱性が存在します。
影響を受けるシステム
- Struts 2.3 系列: Struts 2.3.35 より前のバージョン
- Struts 2.5 系列: Struts 2.5.17 より前のバージョン
詳細情報
Apache Struts2 にはユーザ入力の不十分な検証に起因する、任意のコードが実行可能な脆弱性が存在します。
詳細はベンダが提供する情報を参照してください。
なお、本脆弱性の攻撃コードが公開されています。
想定される影響
遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。
対策方法
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性の修正を行ったバージョンとして Struts 2.3.35 および Struts 2.5.17 が公開されています。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する
ただし、Apache Software Foundation はワークアラウンドの実施よりもアップデートの実施を強く推奨しています。
備考
最終更新日 2018.08.24
