※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、「Jakarta Multipart parser」のファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-5638)が存在します。
本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
本脆弱性を悪用する攻撃コードおよび攻撃コードを用いたと思われる通信や被害が発生したとの情報が確認されていますので、対策済みのバージョンへのアップデートや回避策を至急実施してください。
図:脆弱性を悪用した攻撃のイメージ
影響を受けるバージョン
- Apache Struts 2.3.5 から 2.3.31
- Apache Struts 2.5 から 2.5.10
Apache Struts 1 への影響は現在のところ不明です。
Apache Struts 2 系のバージョンの確認方法例
Apache Struts 2 を利用しているウェブアプリケーションの /WEB-INF/lib ディレクトリを開き、その中の struts2-core-2.x.x.x.jar ファイルの名称を確認してください。
※ 2.x.x.x の部分が、利用している Struts 2 のバージョンです。
対策
脆弱性の解消 - アップデートする
開発者が脆弱性を修正した最新版を公開していますのでアップデートを実施してください。
dist - Revision 18602: /release/struts/2.3.32https://dist.apache.org/repos/dist/release/struts/2.3.32/
dist - Revision 18602: /release/struts/2.5.10.1
https://dist.apache.org/repos/dist/release/struts/2.5.10.1/
参考情報
- Security Bulletins S2-045
https://cwiki.apache.org/confluence/display/WW/S2-045 - CVE-2017-5638
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 - Twitter:NTTセキュリティ・ジャパン株式会社
https://twitter.com/NTTSec_JP/status/839132398210031616
更新履歴
| 2017年3月8日 | 掲載 |
|---|