Apache Struts2脆弱性(S2-052)への対策のお願い
Apache Software Foundation が提供する Apache Struts 2 は、Java のウェブアプリケーション
を作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、脆弱性(S2-052)があり、悪用された場合、遠隔の第三者によって、
サーバ上で任意のコードを実行される可能性があります。
本脆弱性は、不正アクセスの発生等に繋がる可能性が高いため、
研究室等で運用するWebサイト、情報システム等を至急確認いただき、
Apache Struts 2を利用しており、影響範囲のバージョンを使用している場合は、
直ちにアップデートを行う等、必要な対策を行うようお願いいたします。
また、 Webサイトや情報システムへの不正アクセスが確認された場合は、
速やかにTDU-CSIRTまで通報をお願いいたします。
【本脆弱性に関する情報】
○対象システム : Apache Struts 2
○脆弱性 : S2-052(CVE-2017-9805)
○対象バージョン: バージョン2.5から2.5.12
○影響 : 遠隔で任意のコードが実行される可能性
○攻撃難易度 : 非常に容易(攻撃者は容易にこの脆弱性を悪用可能)
○対策:
Apache Software Foundation からは、本脆弱性について修正したバージョン2.5.13の
Apache Struts 2 が公開されています。
修正済みのバージョンに更新することをご検討ください。
https://struts.apache.org/download.cgi#struts2513
※万が一、迅速な対応が困難な場合にあっては、被害の発生を回避するために
当該サイトを一時的に停止するなどの対応も併せて検討くださるようお願い致します。
脆弱性の詳細等については以下のサイトをご参照ください。
○S2-052 : Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads
https://struts.apache.org/docs/s2-052.html
○Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052) – IPA
https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html
○Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起 – JPCERT/CC