セキュリティブログ

【緊急】【脆弱性情報/JVN】Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

2017.09.07

独立行政法人 情報処理推進機構(IPA)さんおよび、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんから9月6日、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると発表されています。

※以下、JVNさんウェブサイトより抜粋

詳細情報

Apache Struts2 には、Struts REST プラグインを使用している場合に XML ペイロードのデシリアライズ処理に起因する、任意のコードが実行可能となる脆弱性が存在します。

想定される影響

遠隔の第三者によって細工されたリクエストを処理することで、任意のコードを実行される可能性があります。

対策方法

アップデートする
本脆弱性が修正されたバージョン (Struts 2.5.13 および Struts 2.3.34) へアップデートする。
なお、上記のバージョンには S2-050、S2-051 に対する修正も含まれています。

ワークアラウンドを実施する
開発者のサイトにて、本脆弱性を回避するための方法を提示しています。
詳しくは開発者が提供する情報を参照してください。

ベンダ リンク
Apache Struts Announcements
S2-052: Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
S2-050: A regular expression Denial of Service when using URLValidator (similar to S2-044 & S2-047)
S2-051: A remote attacker may create a DoS attack by sending crafted xml request when using the Struts REST plugin

 

※ここまで

ご確認とご対応をよろしくお願いいたします。