(cache)Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

各位

                                                   JPCERT-AT-2017-0033
                                                             JPCERT/CC
                                                            2017-09-06

                  <<< JPCERT/CC Alert 2017-09-06 >>>

          Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

            https://www.jpcert.or.jp/at/2017/at170033.html

I. 概要
Apache Software Foundation は、2017年9月5日に Apache Struts 2 の脆弱性
(CVE-2017-9805) に関する情報 (S2-052) を公開しました。Struts REST Plugin
を用いている場合に、脆弱性を悪用するよう細工した XML リクエストを処理
することで、Apache Struts 2 が動作するサーバにおいて任意のコードが実行
される可能性があります。
脆弱性の詳細は、Apache Software Foundation からの情報を参照してくださ
い。なお、本脆弱性の報告者より、脆弱性の詳細に関する情報も公開されてい
ます。

    Apache Struts 2 Documentation
    S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
    https://struts.apache.org/docs/s2-052.html

Apache Software Foundation は本脆弱性の深刻度を「Critical」と評価して
います。Apache Software Foundation からは、本脆弱性に対する有効な回避
策はなく、Struts REST Plugin を削除するか、XML によるリクエストを受け
付けないように制限をすることが説明されています。脆弱性の影響を受ける
バージョンの Apache Struts 2 を使用している場合には、「III. 対策」を
参考に早期の対応を行うことを強く推奨します。


II. 対象
次のバージョンの Apache Struts 2 が本脆弱性の影響を受けます。

  - Apache Struts 2
    - 2.5 系列    2.5.13 より前のバージョン


III. 対策
Apache Software Foundation からは、本脆弱性について修正したバージョンの
Apache Struts 2 が公開されています。修正済みのバージョンに更新すること
をご検討ください。

  - Apache Struts 2
    - 2.5 系列    2.5.13

なお、Apache Software Foundation によると、上記のバージョンには、次の
脆弱性の修正も含まれるとのことです。

  - S2-050 (深刻度「Low」)
    - 2.3 系列    2.3.7 から 2.3.33 までのバージョン
    - 2.5 系列    2.5.13 より前のバージョン

  - S2-051 (深刻度「Medium」)
    - 2.3 系列    2.3.7 から 2.3.33 までのバージョン
    - 2.5 系列    2.5.13 より前のバージョン

詳細は、Apache Software Foundation からの更新情報を参照してください。

    Apache Struts 2 Documentation
    Version Notes 2.5.13
    https://struts.apache.org/docs/version-notes-2513.html


IV. 参考情報
    Apache Struts 2 Documentation
    S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
    https://struts.apache.org/docs/s2-052.html

    Apache Struts 2 Documentation
    REST Plugin
    https://struts.apache.org/docs/rest-plugin.html

    Apache Struts 2 Documentation
    S2-050 : A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
    https://struts.apache.org/docs/s2-050.html

    Apache Struts 2 Documentation
    S2-051 : A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin
    https://struts.apache.org/docs/s2-051.html


今回の件につきまして当センターまで提供いただける情報がございましたら、
ご連絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ