アーカイブ
Apache Struts 2においてdevModeが有効である場合に任意のJava(OGNL)コードが実行可能となる脆弱性
2017年2月3日 | 注意喚起
LAC Advisory No.123
Problem first discovered on: Fri, 22 Jul 2016
Published on: Fri, 3 Feb 2017
脅威度
高
概要
Apache財団が提供しているApache Struts 2には、遠隔から任意のJava(OGNL)コードが実行可能となる脆弱性が存在します。
詳細
Apache財団が提供しているApache Struts 2は、オープンソースのWebアプリケーションフレームワークです。Apache Struts 2には、開発用に用いるdevModeで用いられているパラメータに値検証不備が含まれているため、脆弱なパラメータに任意のJava(OGNL)コードを外部から挿入され実行されてしまう脆弱性が存在します。このため、悪意のあるユーザがApache Struts 2で作成されたdevModeが有効なコンテンツにアクセスしてしまった場合、Apache Struts 2で作成されたWebアプリケーションサーバ上で悪意のあるJava(OGNL)コードが実行されてしまう恐れがあります。
スクリーンショット
影響を受けるシステム
- Apache Struts 2.3.30およびそれ以前
- Apache Struts 2.5.1およびそれ以前
対策
JVNが提供する情報をもとに、ソフトウェアを脆弱性の影響を受けないバージョンへアップデートしてください。アップデートが難しい場合は、ベンダ情報記載のWebページを参考にして、必要な時を除きdevModeを無効化することにより対策してください。
[ベンダ情報]
Apache Struts2 Core Developers Guide [Security - Disable devMode]
発見者
藤本 博史(エンタープライズシステム部)、北原 憲(システムアセスメント部)
謝辞
本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。
JVN#92395431: Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題
CVE番号
割り当て無し