「Apache Struts 2」に危険度の高いRCE脆弱性、修正バージョンの適用を推奨

　Apache Software Foundationは5日、「Apache Struts 2」について、危険度の最も高い“Critical”1件を含む脆弱性3件に関するアドバイザリを公開し、脆弱性を修正した最新バージョン「2.5.13」の提供を開始した。

　Criticalと評価されているのは、リモートから任意のコードを実行できる（RCE：Remote Code Execution）脆弱性「S2-052」（CVE-2017-9805）。XStreamのハンドラにおけるXMLペイロード処理の問題によるもので、攻撃者がリモートから特別に細工を施したXMLリクエストを送信することで任意のコードを実行できるもの。RESTプラグインを使用しているバージョン「2.5」～「2.5.12」の環境で影響を受ける。

　Apache Software Foundationでは回避策として、RESTプラグインの削除、またはXMLリクエストを受け付けないように制限することを挙げている。

　このほかの脆弱性2件は、いずれもDoS攻撃が可能になるもの。「S2-050」（CVE-2017-9804）は、S2-047の修正が不完全だったもので、フォームに入力されたURLの検証不備によりDoS攻撃が可能になる。危険度は“Low”

　一方の「S2-051」（CVE-2017-9793）は、RESTプラグインにおいてXstreamライブラリを使用しているときに、攻撃者がリモートから特別に細工を施したXMLリクエストを送信することで、DoS攻撃を実行できてしまうもの。危険度は“Medium”。

　S2-050/051は、バージョン「2.3.7」～「2.3.33」、「2.5」～「2.5.12」の環境で影響を受ける。これらを修正した2.3系列の更新版「2.3.34」の提供も開始されている。

　なお、最新バージョン「2.5.13」ではこのほか、多くのコンポーネントのアップデートや不具合の修正も多数行われている。

　脆弱性を発見したオープンソースプロジェクト向けコード検証サービス「lgtm.com」のセキュリティリサーチャーであるMan Yue Mo氏は、「Strutsは、信じられないほど多数の組織で使われており、航空機の予約システム、オンラインバンキングなどの金融システムといったウェブアプリケーションにも用いられている。そして、この脆弱性を悪用するのは非常に簡単だ」とブログで述べている。

【追記 13:43】

　独立行政法人情報処理推進機構（IPA）によれば、S2-052の脆弱性を悪用する攻撃コードが公開されており、これが動作することを確認したという。このため、対策済みのバージョンへのアップデートまたは回避策の適用を、至急実施することを推奨している。また、NTTセキュリティ・ジャパンでも、S2-052の脆弱性に対する攻撃が成功することを確認したという。