株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

LAC WATCH
2017年02月03日 | 注意喚起

Apache Struts 2においてdevModeが有効である場合に任意のJava(OGNL)コードが実行可能となる脆弱性

LAC Advisory No.123

Problem first discovered on: Fri, 22 Jul 2016
Published on: Fri, 3 Feb 2017

脅威度

概要

Apache財団が提供しているApache Struts 2には、遠隔から任意のJava(OGNL)コードが実行可能となる脆弱性が存在します。

詳細

Apache財団が提供しているApache Struts 2は、オープンソースのWebアプリケーションフレームワークです。Apache Struts 2には、開発用に用いるdevModeで用いられているパラメータに値検証不備が含まれているため、脆弱なパラメータに任意のJava(OGNL)コードを外部から挿入され実行されてしまう脆弱性が存在します。このため、悪意のあるユーザがApache Struts 2で作成されたdevModeが有効なコンテンツにアクセスしてしまった場合、Apache Struts 2で作成されたWebアプリケーションサーバ上で悪意のあるJava(OGNL)コードが実行されてしまう恐れがあります。

スクリーンショット

スクリーンショット

影響を受けるシステム

  • Apache Struts 2.3.30およびそれ以前
  • Apache Struts 2.5.1およびそれ以前

対策

JVNが提供する情報をもとに、ソフトウェアを脆弱性の影響を受けないバージョンへアップデートしてください。アップデートが難しい場合は、ベンダ情報記載のWebページを参考にして、必要な時を除きdevModeを無効化することにより対策してください。

[ベンダ情報]

Apache Struts2 Core Developers Guide [Security - Disable devMode]

発見者

藤本 博史(エンタープライズシステム部)、北原 憲(システムアセスメント部)

謝辞

本問題は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから IPA に報告し、JPCERT/CC により開発者との調整が行われました。

JVN#92395431: Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題

CVE番号

割り当て無し

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
配信しています
詳しくはこちら

page top