Apache Struts2に含まれる深刻な脆弱性「S2-037」について
2016年6月20日 | プレス
株式会社ラック(本社:東京都千代田区、代表取締役社長:髙梨 輝彦、以下ラック)は、国内で多数稼動しているWebアプリケーション フレームワーク 「Apache Struts 2」の脆弱性「S2-037」に関して、今後深刻なサイバー攻撃に悪用される可能性があり、対策を強く推奨する情報を公開しました。
Apache Strutsは、Apacheソフトウェア財団のApache Strutsプロジェクトで開発とサポートがおこなわれているオープンソースのJava Webアプリケーションフレームワークで、そのなかでApache Struts 2は、日本国内においても多数のWebサイトで採用されていると考えられます。
Apache Struts 2には、REST プラグインと呼ばれる機能があり、この機能に深刻なセキュリティ上の欠陥(脆弱性)「S2-037」が含まれていることが確認されました。
Apache Struts2の脆弱性「S2-037」は、ネットワークを介してWebサーバーにおいて任意のOSコマンドが実行できてしまう危険なものです。さらに、この脆弱性がより深刻度を高めているのは、それ以前に公開された脆弱性「S2-033」との関係にあります。
ラックは、「S2-033」が公開された後より、本脆弱性の再現性など含め調査を継続しておりました。そして、「S2-033」の回避策として有効とされた「DMIの無効化」による対応では攻撃を防げない方法が発見されました。ラックは、利用者保護を優先し、Apache Software Foundationに状況を通知したところ、すでに「S2-037」の識別番号が設定されていました。ラックはその後の対応を注視しておりましたが、すでにこの脆弱性を悪用するサンプルコードが海外の掲示板に掲載されたことにより、深刻度が高まりました。
現在Apache Struts2を利用し、「S2-033」の対策を行っているユーザーの多くは、Apache Struts2のバージョンアップにより自社Webアプリケーションへの悪影響を懸念し、「DMIの無効化」により対策していると考えられます。しかしながら、新しい脆弱性「S2-037」においては、「DMIの無効化」は回避策として機能していません。
すでに攻撃手段が公開されている脆弱性の対策は、バージョンアップしかありません。自社Webアプリケーションへの悪影響の有無の確認と本脆弱性を悪用した攻撃が行われるまでの時差を考えると、可能な限り早く互換性検証を行っていただきたいと考えています。また、ラックが公開した情報にある暫定回避策を採用いただきますようお願いいたします。
本件に関して、ラックのエンジニアが情報を公開しておりますのでご確認ください。
Struts2の脆弱性「S2-037」にご注意ください
https://www.lac.co.jp/lacwatch/people/20160620_000364.html
尚、本件に関する対策についてのご質問は、お問い合わせ窓口sales@lac.co.jpまでお願いいたします。
参考情報
Apacheソフトウェア財団のセキュリティ情報 S2-037
https://struts.apache.org/docs/s2-037.html
以上
株式会社ラックについて
ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」「マーケティング・オートメーション支援」「ビッグデータ・アナリティクス」を始め、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、官公庁・企業・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。
2015年には、米フロスト&サリバンより、「セキュリティ監視」「脆弱性診断」「セキュリティ事故対応」「セキュリティコンサルティング」などが高く評価され、「日本市場マネージドセキュリティーサービス プロバイダー最優秀賞」を受賞しています。
* ラック、LAC、JSOC、サイバー救急センターは、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。