Struts 2はWebアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されている。日本国内でも人気を博し、現在も多くのWebサイトで利用されている。
しかし、今年の前半に緊急度の高い脆弱性が相次いで報告される(ラック社の10月24日付けレポート)など、セキュリティ面での不安も浮き彫りになっている。IPAはそうした背景を鑑み、Webサイトの構築を手がけるシステム構築事業者(以下、SIer)に向けて、Struts 2についてこれまでに報告された脆弱性と、その対策情報をまとめた一覧を公開。構築あるいは運用保守中のシステムにStruts 2を使用している場合は、該当の脆弱性対策情報の有無を確認の上、必要に応じて修正パッチを適用してアップデートするなどの対応をとるよう、改めて呼び掛けている。
一覧に含まれている脆弱性は全部で43個。「任意のコードを実行される」「オブジェクト保護メカニズムを回避される」「アクセス制御を回避される」といった危険なものばかりだ。放置すると、情報漏えいなどの被害を受ける可能性もある。
公開されたApache Struts2の脆弱性情報一覧(出典:IPAのWebページ)
なお、2016年11月14日時点での最新バージョンは2.3.31および2.5.5。使用しているライブラリに関しても脆弱性の有無を確認する必要がある。
【関連リンク】
・IPA(情報処理推進機構)
・Apache Struts2 の脆弱性対策情報一覧