「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを

　「Apache Struts 2」に、リモートから任意のコードが実行可能な脆弱性が含まれているとして、独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が注意を喚起している。脆弱性を悪用する攻撃コードが公開されているため、修正済みのバージョンを適用するよう呼び掛けている。

　攻撃者が細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバーにおいて、任意のコードが実行可能な深刻度“Critical”の脆弱性（CVE-2018-11776）が存在するという。

　JPCERT/CCによると、同脆弱性はApache Struts 2の処理に起因しており、Strutsの設定ファイル（struts.xmlなど）でnamespaceの値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URLタグの記述において“value”か“action”の値が指定されていない場合に影響を受けるとしている。

「Apache Struts 2」における任意のコードが実行可能な脆弱性のイメージ（IPAによる注意喚起より）

　影響を受けるバージョンは「2.3」～「2.3.34」および、「2.5」～「2.5.16」。Apache Struts 2の開発元であるApache Software Foundationによると、脆弱性に対する回避策として、Strutsの設定ファイルでnamespaceの値や、URLタグの“value”と“action”の値を指定することを挙げているが、可能な限り早くバージョンアップを行うことを推奨している。

　具体的には、バージョン「2.3」系列のユーザーは「2.3.35」に、バージョン「2.5」系列のユーザーは「2.5.17」にアップデートするよう推奨している。