LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

Apache Struts 2においてdevModeが有効である場合に任意のJava(OGNL)コードが実行可能となる脆弱性

LAC Advisory No.123

Problem first discovered on: Fri, 22 Jul 2016
Published on: Fri, 3 Feb 2017

脅威度

概要

Apache財団が提供しているApache Struts 2には、遠隔から任意のJava(OGNL)コードが実行可能となる脆弱性が存在します。

詳細

Apache財団が提供しているApache Struts 2は、オープンソースのWebアプリケーションフレームワークです。Apache Struts 2には、開発用に用いるdevModeで用いられているパラメータに値検証不備が含まれているため、脆弱なパラメータに任意のJava(OGNL)コードを外部から挿入され実行されてしまう脆弱性が存在します。このため、悪意のあるユーザがApache Struts 2で作成されたdevModeが有効なコンテンツにアクセスしてしまった場合、Apache Struts 2で作成されたWebアプリケーションサーバ上で悪意のあるJava(OGNL)コードが実行されてしまう恐れがあります。

スクリーンショット

スクリーンショット

影響を受けるシステム

  • Apache Struts 2.3.30およびそれ以前
  • Apache Struts 2.5.1およびそれ以前

対策

JVNが提供する情報をもとに、ソフトウェアを脆弱性の影響を受けないバージョンへアップデートしてください。アップデートが難しい場合は、ベンダ情報記載のWebページを参考にして、必要な時を除きdevModeを無効化することにより対策してください。

[ベンダ情報]

Apache Struts2 Core Developers Guide [Security - Disable devMode]

発見者

藤本 博史(エンタープライズシステム部)、北原 憲(システムアセスメント部)

謝辞

本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

JVN#92395431: Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題

CVE番号

割り当て無し

この記事は役に立ちましたか?

はい いいえ