1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 「Apache Struts 2」に深刻な脆弱性、攻撃コードも公開

「Apache Struts 2」に深刻な脆弱性、攻撃コードも公開

「Apache Struts 2」に深刻な脆弱性、攻撃コードも公開

JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン2系列(Apache Struts 2)に、深刻な脆弱性(「S2-037」)が存在することがわかった。セキュリティ専門企業のラックが6月20日、注意喚起を公開している。

「S2-037」は、Apache Struts 2の「RESTプラグイン」と呼ばれる機能に存在する。ネットワークを介してWebサーバーで任意のOSコマンドが実行できてしまうもので、今後、深刻なサイバー攻撃に悪用される可能性があるという。

また、脆弱性がより深刻度を高めているのは、それ以前に公開された脆弱性(「S2-033」)との関係にある。同社によると、「S2-033」の回避策として有効とされた「DMIの無効化」による対応は、その後、攻撃を防げないことがわかっており、今回の「S2-037」においても回避策として機能しない。

対象となるバージョンはバージョン「2.3.20」から「2.3.28.1」まで。すでに脆弱性を悪用するサンプルコードが海外の掲示板に掲載されていることから、同社は、対策済みの最新バージョン「2.3.29」へのバージョンアップを強く推奨している。

Apache Struts2に含まれる深刻な脆弱性「S2-037」について(株式会社ラック)
Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起(JPCERT/CC)
Apache Struts において任意のコードを実行可能な脆弱性(JVN#07710476)


日立ソリューションズのセキュリティソリューション

トータルセキュリティソリューション

トータルセキュリティソリューション

確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできる様々なセキュリティニーズに対応したソリューションをご提供します。

詳しく見る

関連キーワード:

Apache Struts

Java

サイバー攻撃

フレームワーク

脆弱性

  • モジラがオープンソースのセキュリティ向上のための「Secure Open Source」プログラムを発表
  • カテゴリートップへ
  • ICPEN(アイスペン)とは