Apache Strutsに脆弱性

Apache Strutsに重大な脆弱性が発見され、更新版を公開した

Apache Strutsに重大な脆弱性が発見され、9月5日にApache Software Foundationが更新版となるバージョン2.5.13を公開した。とITmedia Newsで伝えています。

今回の脆弱性は、オープンソースプロジェクト向けの無料コード検証サービス「lgtm.com」を提供している米Semmleの研究者が発見した。同社によると、2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、同フレームワークのRESTプラグインを使っている全てのWebアプリが影響を受ける。

脆弱性は、信頼できないデータを非直列化する方法に起因しているといい、悪用された場合、StrutsとRESTを使って開発されたアプリケーションを実行しているサーバ上で、リモートの攻撃者が任意のコードを実行できてしまう恐れがある。

Semmleではこの脆弱性を突くコードも開発したが、現時点で公開はしていない。9月5日現在、攻撃コードの公開は確認されていないものの、すぐにも出現する公算が大きいとしている。

Strutsを使って開発されたWebアプリケーションは、Fortune 100に名を連ねる大手企業の少なくとも65%で利用され、航空会社の予約システムや金融機関のインターネットバンキングアプリなど、一般向けの多数のWebアプリケーションにも使われているという。

「攻撃者はいとも簡単にこの脆弱性を悪用できる。必要なのはWebブラウザのみ」とSemmleの研究者は解説し、Strutsを使っている組織は直ちに対処するよう促した。

 更新版のStruts 2.5.13では、他にもサービス妨害(DoS)の脆弱性など2件が修正されている。

出典:ITmediaエンタープライズ 「Apache Strutsに重大な脆弱性、直ちに更新を」
http://www.itmedia.co.jp/enterprise/articles/1709/06/news046.html

影響を受けるバージョン

Apache Struts 2.5 から 2.5.12

公式サイトからのダウンロード

https://struts.apache.org/download.cgi#struts2513

スポンサーリンク
spdsk-side




spdsk-side