【修正】「Apache Struts 2.3.16.2」が公開 - 対応不十分だった深刻な脆弱性に対応

ウェブアプリケーションのフレームワーク「Apache Struts2」に深刻な脆弱性が見つかった問題で、同ソフトを提供するApache Software Foundationは、修正版となる「同2.3.16.2」をリリースした。

「Apache Struts 2.3.16.2」が公開

同セキュリティアップデートでは、前バージョンで修正が不完全だった脆弱性「CVE-2014-0112」や、「CookieInterceptor」により不正に操作されるおそれがある脆弱性「CVE-2014-0113」など、「ClassLoader」に関する2件の脆弱性に対応した。

当初、リモートのブラウザから攻撃対象となるサーバの制御を奪うことが可能となる脆弱性「CVE-2014-0094」に対し、修正版として「同2.3.16.1」が公開されていたが、対応が不十分で、引き続き攻撃を受けるおそれがあるとして、セキュリティ機関やセキュリティベンダーが注意を呼びかけていた。

今回アップデートを公開したASFでは、すべてのデベロッパーに対してアップデートを実施するよう強く推奨している。

（Security NEXT - 2014/04/27 ） ツイート

PR

関連記事

「Apache Struts2」の修正プログラムが準備中 - まもなく公開予定
修正版「Apache Struts2」は対応不十分、いまだゼロデイ状態 - MBSDが注意喚起
【脆弱性】「Struts2」の脆弱性、多数稼働する旧版にも影響 - 攻撃前提の対策を
「Apache Struts2」に深刻な脆弱性 - 実証コードが公開、ブラウザから攻撃可能
「お名前.com」の一部サーバに不正アクセス - ネット上に実証コードが公開される
ウェブ改ざんに悪用される脆弱性、9カ月間で155件 - 「WordPress」と「Drupal」に集中
平群町図書館の図書検索システムに不正アクセス - 犯行声明ページが挿入
6月から7月にかけてサイト改ざん被害がピーク - 1カ月あたり1000件以上
セキュリティベンダーが9月18日前後のサイバー攻撃増加に注意喚起 - すでに攻撃予告も
脆弱性攻撃サイトへのアクセス数が約3.4倍に - サイト改ざんによる誘導で急拡大