1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 「Apache Struts 2」に深刻な脆弱性が確認される(「CVE-2017-9805」)

「Apache Struts 2」に深刻な脆弱性が確認される(「CVE-2017-9805」)

「Apache Struts 2」に深刻な脆弱性が確認される(「CVE-2017-9805」)JavaのWebアプリケーションを作成するためのフレームワーク「Apache Struts」のバージョン2系列(Apache Struts 2)に、深刻な脆弱性(「CVE-2017-9805」)が存在することが確認された。9月7日、独立行政法人 情報処理推進機構(IPA)が注意喚起を公開している。

これによると、脆弱性は「Struts REST Plugin」のXMLリクエストに起因し、悪用されると、第三者によって遠隔からWebサーバー上で任意のコードを実行される可能性がある。

影響を受けるのは、「Apache Struts 2.1.2から2.3.33まで」「Apache Struts 2.5から 2.5.12まで」のバージョン。開発元のApache Software Foundation(Apacheソフトウエア財団)は、9月5日、この脆弱性に関する情報(S2-052)を公開しており、脆弱性が修正された最新版が公開されている。Webサイト管理者は最新版への早急なアップデートが推奨される。

なお、IPA では「Apache Struts 2.3.33および2.5.12」にて攻撃コードが動作することを確認しているという。また、「Apache Struts 1」への影響は不明とのことだが、すでにサポートが終了しているため、「Apache Struts 1」を利用している場合は利用を停止し、早急に移行を検討する必要がある。

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)(IPA)
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起(JPCERT/CC)
・(英文)Apacheソフトウエア財団による注意情報(S2-052)
・(英文)Apache Struts 2.5.13のダウンロードページ
・(英文)Apache Struts 2.3.34のダウンロードページ
Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認(セキュリティ対策のラック)

日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

Apache

Apache Struts 2

IPA

Java

Struts REST Plugin

脆弱性

  • IDCが国内向けモバイルセキュリティ市場予測を発表
  • カテゴリートップへ
  • トレンドマイクロが「法人組織におけるセキュリティ実態調査2017年版」の結果を発表