Apache Strutsに重大な脆弱性、直ちに更新を

2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。

　Java WebアプリケーションフレームワークのApache Strutsに重大な脆弱（ぜいじゃく）性が発見され、Apache Software Foundationが9月5日、更新版となるバージョン2.5.13を公開して対処した。すぐに攻撃が発生する可能性も指摘され、関係者は直ちに更新版を適用するよう呼び掛けている。

Apache Struts 2.5.13を公開し、脆弱性を修正

　今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。

　脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れがある。

　Semmleではこの脆弱性を突くコードも開発したが、現時点で公開はしていない。9月5日現在、攻撃コードの公開は確認されていないものの、すぐにも出現する公算が大きいとしている。

　Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65％で利用され、航空会社の予約システムや金融機関のインターネットバンキングアプリなど、一般向けの多数のWebアプリケーションにも使われているという。

　「攻撃者はいとも簡単にこの脆弱性を悪用できる。必要なのはWebブラウザのみ」とSemmleの研究者は解説し、Strutsを使っている組織は直ちに対処するよう促した。

　更新版のStruts 2.5.13では、他にもサービス妨害（DoS）の脆弱性など2件が修正されている。

Strutsの脆弱性について解説するlgtm.comのブログ

- PR -