2017年9月7日
【緊急】【脆弱性情報/JVN】Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
独立行政法人 情報処理推進機構(IPA)さんおよび、一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんから9月6日、Apache Software Foundationが提供する「Apache Tomcat」に複数の脆弱性が存在すると発表されています。
※以下、JVNさんウェブサイトより抜粋
Apache Struts2 には、Struts REST プラグインを使用している場合に XML ペイロードのデシリアライズ処理に起因する、任意のコードが実行可能となる脆弱性が存在します。
遠隔の第三者によって細工されたリクエストを処理することで、任意のコードを実行される可能性があります。
アップデートする
本脆弱性が修正されたバージョン (Struts 2.5.13 および Struts 2.3.34) へアップデートする。
なお、上記のバージョンには S2-050、S2-051 に対する修正も含まれています。ワークアラウンドを実施する
開発者のサイトにて、本脆弱性を回避するための方法を提示しています。
詳しくは開発者が提供する情報を参照してください。
※ここまで
ご確認とご対応をよろしくお願いいたします。
