「Apache Struts 2」に、リモートから任意のコードを実行される脆弱性(JVN)
JPCERT/CCは、「Apache Struts 2 の脆弱性(S2-057)に関する注意喚起」を発表した。
脆弱性と脅威
セキュリティホール・脆弱性
Apache Struts 2
・2.3 系列 2.3.35 より前のバージョン
・2.5 系列 2.5.17 より前のバージョン
同脆弱性(CVE-2018-11776)は、Apache Struts 2 の処理に起因するもので、Struts の設定ファイル(struts.xml など)で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいはURLタグの記述において value か action の値が指定されていない場合に影響を受ける。
Apache Software Foundationでは、同脆弱性の深刻度を「Critical」と評価しており、脆弱性を解消したバージョン「2.3 系列 2.3.35」「2.5 系列 2.5.17」を公開している。JPCERT/CCでは、十分なテストを実施の上、修正済みバージョンを適用することを強く勧めている。
《吉澤 亨史( Kouji Yoshizawa )》