ニュース
「Apache Struts 2」に遠隔からコード実行可能な脆弱性、実証コードによる攻撃も観測
2017年3月8日 15:14
独立行政法人情報処理推進機構(IPA)セキュリティセンターは8日、ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性「S2-045/CVE-2017-5638」について注意を喚起した。開発元のApache Software Foundationでは、脆弱性を修正したバージョン「2.3.32」および「2.5.10.1」を配布している。
影響を受けるバージョンは「2.3.5~2.3.31」と「2.5~2.5.10」。Apache Struts 2のバージョンは、利用しているウェブアプリケーションの「/WEB-INF/lib」ディレクトリに格納されているファイル「struts2-core-2.x.x.x.jar」の名称で確認できる。
IPAによれば、脆弱性の実証コードがすでに複数のサイトで配布されており、これを用いた通信や被害が発生したとの情報も確認されているため、早急な更新が推奨されている。NTTセキュリティ・ジャパン株式会社のツイートによれば、IPアドレス「36.45.172.93」からの攻撃が観測されているという。Apache Software Foundationによる脆弱性の危険度は“High”。
Apache Struts 2 の脆弱性 S2-045(CVE-2017-5638)が公開されました。容易にサーバーに侵入が可能で、特に「36.45.172 [dot] 93」のIPアドレスから多数の組織で攻撃を確認しています。開発者からの情報などを参照して対策をご検討ください。
— NTTセキュリティ・ジャパン株式会社 (@NTTSec_JP)2017年3月7日
Apache Struts 2は、オープンソースのJavaウェブアプリケーションフレームワーク。国内でも多くのウェブサイトで採用されている。
今回の脆弱性は、「Jakarta Multipart parser」のファイルアップロード処理に起因するもので、悪用されると、リモートから任意のコードが実行される可能性がある。
Apache Software Foundationでは一時的な回避策として、Content-Typeヘッダーを検証して値の一致しない不審な要求を破棄するサーブレットフィルターを実装することを挙げている。