is702
ニュース

ソフトウェアフレームワーク「Apache Struts2」に深刻な脆弱性

2018/08/24

脆弱性対策情報ポータルサイト「JVN」は8月23日、「Apache Struts2」(アパッチストラッツ2)に脆弱性が存在するとして、注意を呼びかけました。同サイトを共同運営する独立行政法人情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)も、あわせて情報を公開しています。

「Apache Struts2」は、Webアプリケーションを構築するためのオープンソースのフレームワークです。今回発見された脆弱性「S2-057」(CVE-2018-11776)が悪用された場合、任意のコードを実行される可能性があります。細工したHTTPリクエストを送信することで、外部からでもこうした攻撃が可能なため、危険度は「Critical」と判定されています。

対象となるのは、Struts 2.3系列ではStruts 2.3.35より前のバージョン、Struts 2.5系列ではStruts 2.5.17より前のバージョン。なお本脆弱性の攻撃コードがすでに公開されています。利用者は、修正済みの最新版であるStruts 2.3.35およびStruts 2.5.17へ、速やかにアップデートしてください。



脆弱性を悪用した攻撃のイメージ(IPAの発表資料より)

脆弱性を悪用した攻撃のイメージ(IPAの発表資料より)

  • FCTV
  • mitene
FCTV
mitene