「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)
IPAは、2016年第2四半期(4月から6月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
脆弱性と脅威
脅威動向
また、件数が多かった脆弱性は、「CWE-119(バッファエラー)」353件、「CWE-20(不適切な入力確認)」176件、「CWE-264(認可・権限・アクセス制御)」170件、「CWE-200(情報漏えい)」165件、「CWE-79(クロスサイト・スクリプティング)」96件などとなっている。IPAでは製品開発者に対し、ソフトウェアの企画・設計段階から、セキュリティ対策を講じ、脆弱性の低減に努めることが求められるとしている。
レポートでは注目情報として、「Apache Strutsの脆弱性対策情報について」を挙げている。今四半期は、Apache Strutsの脆弱性が15件登録され、このうち2件で遠隔の第三者から任意のコードを実行されるといった危険な攻撃コードを確認している。また、15件のうちApache Struts 1が影響を受ける脆弱性対策情報は2件であったが、すでに公式サポートが終了しているため、通常は脆弱性対策情報は公開されない。IPAでは、早急にApache Struts 2や他のフレームワークなどに切り替えることを検討する必要があるとしている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/