AWS導入支援・クラウド運用代行 スカイアーチネットワークス

Apache Struts2 に任意のコードが実行可能な脆弱性

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

Apache Struts2にて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache Struts2 には任意のコードが実行可能な脆弱性が存在します。

影響を受けるシステム

  • Struts 2.3 系列: Struts 2.3.35 より前のバージョン
  • Struts 2.5 系列: Struts 2.5.17 より前のバージョン

詳細情報

Apache Struts2 にはユーザ入力の不十分な検証に起因する、任意のコードが実行可能な脆弱性が存在します。
詳細はベンダが提供する情報を参照してください。

なお、本脆弱性の攻撃コードが公開されています。

想定される影響

遠隔の第三者によって細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする

開発者が提供する情報をもとに、最新版にアップデートしてください。
本脆弱性の修正を行ったバージョンとして Struts 2.3.35 および Struts 2.5.17 が公開されています。

ワークアラウンドを実施する

次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する

ただし、Apache Software Foundation はワークアラウンドの実施よりもアップデートの実施を強く推奨しています。

備考

最終更新日 2018.08.24

お気軽にご相談ください

お問い合わせ

03-6743-1100

平日10:00 - 18:00 ※祝日は除く

スカイアーチネットワークスは、AWS アドバンストティアサービスパートナーです

  • AWS アドバンストティアサービスパートナー
  • AWS レベル1 MSSP コンピテンシー
  • AWS MSPパートナープログラム
  • AWS Well-Architected パートナープログラム
  • AWS 公共部門パートナープログラム
  • AWS ソリューションプロバイダー
  • AWS 公共部門ソリューションプロバイダー
  • AWS トレーニングパートナー
  • AWS サービスデリバリープログラム Amazon DynamoDB
  • AWS サービスデリバリープログラム Amazon CloudFront
  • APN Immersion Days
  • aws 400 CERTIFIED
  • 2023 Japan AWS Ambassadors
  • 2023 Japan Top Engineers
  • 2023 Japan All Certifications Engineers