ニュース
「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを
2018年8月23日 14:49
「Apache Struts 2」に、リモートから任意のコードが実行可能な脆弱性が含まれているとして、独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が注意を喚起している。脆弱性を悪用する攻撃コードが公開されているため、修正済みのバージョンを適用するよう呼び掛けている。
攻撃者が細工したHTTPリクエストを送信することで、Apache Struts 2 が動作するサーバーにおいて、任意のコードが実行可能な深刻度“Critical”の脆弱性(CVE-2018-11776)が存在するという。
JPCERT/CCによると、同脆弱性はApache Struts 2の処理に起因しており、Strutsの設定ファイル(struts.xmlなど)でnamespaceの値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URLタグの記述において“value”か“action”の値が指定されていない場合に影響を受けるとしている。
影響を受けるバージョンは「2.3」~「2.3.34」および、「2.5」~「2.5.16」。Apache Struts 2の開発元であるApache Software Foundationによると、脆弱性に対する回避策として、Strutsの設定ファイルでnamespaceの値や、URLタグの“value”と“action”の値を指定することを挙げているが、可能な限り早くバージョンアップを行うことを推奨している。
具体的には、バージョン「2.3」系列のユーザーは「2.3.35」に、バージョン「2.5」系列のユーザーは「2.5.17」にアップデートするよう推奨している。